Makalede bahsedilen Hijack Loader’ın yeni özellikleri nelerdir? Bu yazılım, tespit edilmemek için hangi teknikleri kullanıyor? Emmenhtal Loader ile bağlantılı olan SmokeLoader’ın yayılım yöntemi nedir? SHELBY malware, GitHub’u hangi amaçlarla kullanıyor?
Cybersecurity researchers have discovered an updated version of a malware loader called Hijack Loader that implements new features to evade detection and establish persistence on compromised systems. "Hijack Loader released a new module that implements call stack spoofing to hide the origin of function calls (e.g., API and system calls)," Zscaler ThreatLabz researcher Muhammed Irfan V A said in an analysis. "Hijack Loader added a new module to perform anti-VM checks to detect malware analysis environments and sandboxes." Hijack Loader, first discovered in 2023, offers the ability to deliver second-stage payloads such as information stealer malware. It also comes with a variety of modules to bypass security software and inject malicious code. Hijack Loader is tracked by the broader cybersecurity community under the names DOILoader, GHOSTPULSE, IDAT Loader, and SHADOWLADDER.
In October 2024, HarfangLab and Elastic Security Labs detailed Hijack Loader campaigns that leveraged legitimate code-signing certificates as well as the infamous ClickFix strategy for distributing the malware. The latest iteration of the loader comes with a number of improvements over its predecessor, the most notable being the addition of call stack spoofing as an evasion tactic to conceal the origin of API and system calls, a method recently also embraced by another malware loader known as CoffeeLoader. "This technique uses a chain of EBP pointers to traverse the stack and conceal the presence of a malicious call in the stack by replacing actual stack frames with fabricated ones," Zscaler said.
As with previous versions, the Hijack Loader malware leverages the Heaven’s Gate technique to execute 64-bit direct syscalls for process injection. Other changes include a revision to the list of blocklisted processes to include "avastsvc.exe," a component of Avast Antivirus, to delay execution by five seconds. The malware also incorporates two new modules, namely ANTIVM for detecting virtual machines and modTask for setting up persistence via scheduled tasks. The findings show that Hijack Loader continues to be actively maintained by its operators with an intent to complicate analysis and detection.
The development comes as Elastic Security Labs detailed a new malware family dubbed SHELBY that uses GitHub for command-and-control (C2), data exfiltration, and remote control. The activity is being tracked as REF8685. The attack chain involves the use of a phishing email as a starting point to distribute a ZIP archive containing a .NET binary that’s used to execute a DLL loader tracked as SHELBYLOADER ("HTTPService.dll") via DLL side-loading. The email messages were delivered to an Iraq-based telecommunications firm through a highly targeted phishing email sent from within the targeted organization.
The loader subsequently initiates communications with GitHub for C2 to extract a specific 48-byte value from a file named "License.txt" in the attackers-controlled repository. The value is then used to generate an AES decryption key and decipher the main backdoor payload ("HTTPApi.dll") and load it into memory without leaving detectable artifacts on disk. "SHELBYLOADER utilizes sandbox detection techniques to identify virtualized or monitored environments," Elastic said. "Once executed, it sends the results back to C2. These results are packaged as log files, detailing whether each detection method successfully identified a sandbox environment."
The SHELBYC2 backdoor, for its part, parses commands listed in another file named "Command.txt" to download/upload files from/to a GitHub repository, load a .NET binary reflectively, and run PowerShell commands. What’s notable here is the C2 communication occurs through commits to the private repository by making use of a Personal Access Token (PAT). "The way the malware is set up means that anyone with the PAT (Personal Access Token) can theoretically fetch commands sent by the attacker and access command outputs from any victim machine," the company said. "This is because the PAT token is embedded in the binary and can be used by anyone who obtains it."
Phishing emails bearing payment-themed lures have also been observed delivering a malware loader family codenamed Emmenhtal Loader (aka PEAKLIGHT), which acts as a conduit to deploy another malware known as SmokeLoader. "One notable technique observed in this SmokeLoader sample is the use of .NET Reactor, a commercial .NET protection tool used for obfuscation and packing," GDATA said. "While SmokeLoader has historically leveraged packers like Themida, Enigma Protector, and custom crypters, the use of .NET Reactor aligns with trends seen in other malware families, particularly stealers and loaders, due to its strong anti-analysis mechanisms."
Yeni Kötü Amaçlı Yazılım Yükleyicileri: Çağrı Yığını Sahteciliği, GitHub C2 ve .NET Reactor ile Gizlilik
Günümüzde siber güvenlik tehditleri sürekli olarak evrim geçiriyor. Kötü amaçlı yazılımlar, gizlilik ve güvenlik açığı yaratma açısından daha karmaşık hale geliyor. Yeni tehlikelerden biri de kötü amaçlı yazılım yükleyicileri. Bu yazıda, çağrı yığını sahteciliği, GitHub C2 (komut ve kontrol) ve .NET Reactor gibi teknolojilerin nasıl kullanıldığını inceleyeceğiz.
Kötü Amaçlı Yazılım Yükleyicileri Nedir?
Kötü amaçlı yazılım yükleyicileri, hedef sistemlere diğer kötü amaçlı yazılımları yüklemek için kullanılan bir araçtır. Bu yükleyiciler farklı yöntemler kullanarak tespit edilme olasılıklarını en aza indirmeye çalışır. Kötü amaçlı yazılım yükleyicileri, genellikle hafif bir yük taşıyan ve saldırganlar tarafından istedikleri kötü amaçlı yazılımı sistemlere gönderen bir ön açılış habercisi gibidir.
Çağrı Yığını Sahteciliği: Gizliliğin Yeni Maskesi
Çağrı yığını sahteciliği, kötü amaçlı yazılımların, normal yazılımların çalışırken kullandığı çağrı yığını yapısını taklit etmesine olanak tanıyan bir tekniktir. Bu teknik, kötü bir amaçla yazılmış yazılımların izlenmesini ve tespit edilmesini zorlaştırır. Çağrı yığını sahteciliği aracılığıyla yükleyiciler, sistem üzerinde çalışan diğer temel bileşenlere benzer bir yapı oluşturarak, analiz araçlarının dikkatini dağıtırlar.
Bu yaklaşım, kötü amaçlı yazılım yükleyicilerinin ölümcül malware’leri yükleme sırasında belirgin bir iz bırakmasını engeller. Dolayısıyla, sistem yöneticileri ve güvenlik araştırmacıları genellikle bu tür tehditlerin varlığını tespit etmede zorlanır.
GitHub C2: Yeni Komut ve Kontrol Altyapısı
Kötü amaçlı yazılım yükleyicileri için önemli bir diğer gelişme de GitHub’un komut ve kontrol (C2) altyapısı olarak kullanılmasıdır. Geleneksel C2 sunucuları, kötü amaçlı yazılım operatörlerinin hedef sistemlerle iletişim kurmasına olanak tanırken, GitHub gibi popüler ve yaygın olarak kullanılan platformlar, kötü amaçlı yazılımların tespit edilmesini zor hale getirmektedir.
GitHub, kaynak kodu depolama, paylaşma ve işbirliği yapmak için kullanılan bir platformdur. Kötü amaçlı yazılım geliştiricileri, GitHub sayfalarını kullanarak güncellemeler sağlayabilir, komutlar verebilir ve hedef sistemlere veri aktarabilir. Bu yaklaşım, güvenlik uzmanlarının kötü amaçlı yazılımların işleyişini ve etkileşimlerini izlemelerini daha da zorlaştırır. GitHub’ın hazır güvenlik özellikleri, kötü niyetli faillerin izlerini örtmelerine yardımcı olur.
.NET Reactor ile Gizlilik ve Koruma
.NET Reactor, .NET tabanlı uygulamaların kodunu obfuscate etmek (anlaşılması zorlaştırmak) için kullanılan bir araçtır. Kötü amaçlı yazılımlar, hedef sistemlerde gizlenmek için bu tür araçlardan yararlanır. Obfuscation, kötü niyetli kodun analiz edilmesini engelleyerek, güvenlik uzmanlarının tehditleri tanımlamasını zorlaştırır.
.NET Reactor ile kod koruma işlemi gerçekleştirilirken, yazılımcıların kaynak kodları üzerindeki kontrolleri kaybolur. Böylece, kötü niyetli kullanıcılar uygulama kodunu inceleyemez ve reverse engineering (tersine mühendislik) işlemleriyle yazılımın işleyişini anlamaya çalışamaz. Bu durum, kötü amaçlı yazılımların tespit edilmesini daha da zorlaştırır.
Sonuç: Sürekli Gelişen Tehditler ve Savunma Stratejileri
Kötü amaçlı yazılım yükleyicileri, her geçen gün yeni teknikler ve araçlar geliştirerek siber güvenliği tehdit etmeye devam ediyor. Çağrı yığını sahteciliği, GitHub C2 ve .NET Reactor gibi yenilikler, bu tehditleri daha görünmez ve karmaşık hale getiriyor.
Sistem yöneticileri ve güvenlik uzmanları, siber güvenlik tehditlerini etkili bir şekilde yönetmek için sürekli olarak bilgi ve teknoloji güncellemelerine ihtiyaç duymaktadır. Üstelik, kötü amaçlı yazılımlara karşı korunma uygulamalarını sürekli olarak optimize etmelidirler. Eğitim programları ve bilinçlendirme çalışmaları, insanların bu tür tehditlere karşı nasıl cevap vereceklerini anlamalarına yardımcı olacaktır.
Sonuç olarak, siber güvenlik dünyasında tedbirli olmak ve gelişmeleri takip etmek hayati öneme sahiptir. Kötü amaçlı yazılımlara karşı sürekli artan tehditler, daha etkin savunma mekanizmaları geliştirilmesini gerektirmektedir. Bu bağlamda, teknoloji şirketlerinin, güvenlik uzmanlarının ve bireylerin, siber tehditlere karşı daha bilinçli ve hazırlıklı olmaları gerekmektedir.
