CountLoader Çoklu Sürüm Yükleyicisiyle Rus Fidye Yazılımı Operasyonlarını Genişletiyor

Anasayfa » CountLoader Çoklu Sürüm Yükleyicisiyle Rus Fidye Yazılımı Operasyonlarını Genişletiyor
Haberler, Siber Güvenlik, Tehdit Analizi
Eylül 22, 2025Ekim 25, 2025Tarafından admin
0
CountLoader Çoklu Sürüm Yükleyicisiyle Rus Fidye Yazılımı Operasyonlarını Genişletiyor

CountLoader, .NET, PowerShell ve JavaScript olmak üzere üç farklı sürümle faaliyet gösteren çoklu sürüm kötü amaçlı yazılım yükleyicisi olarak dikkat çekiyor. Silent Push analizine göre, bu yükleyici ya İlk Erişim Komisyoncusu (IAB) araç setinin bir parçası olarak ya da LockBit, Black Basta ve Qilin gibi Rus fidye yazılımı gruplarına bağlı iştirakçiler tarafından kullanılıyor.

Ukrayna Odaklı Kampanyalar ve Teknik Ayrıntılar

Ukrayna’daki hedeflere yönelik kampanyalarda PDF tabanlı oltalama tuzakları ve Ukrayna Ulusal Polisi taklidi kullanılarak yayılıyor. Kaspersky’nin raporlarına göre, PowerShell sürümü DeepSeek ile ilişkili sahte dosyalar aracılığıyla kurulum yaptırmaya çalışıyor. Ayrıca BrowserVenom adlı implant, tüm tarayıcı oturumlarını saldırganların kontrolündeki proxy üzerinden yönlendirerek ağ trafiğinin manipülasyonuna olanak sağlıyor.

JavaScript Sürümü ve Gelişmiş Yükleme Teknikleri

JavaScript sürümü, dosya indirmek için altı farklı yöntem ve kötü amaçlı ikili dosyaları çalıştırmak için üç yöntem sunuyor. Sistem bilgisi toplama, Google güncelleme görevi taklidiyle kalıcılık sağlama ve uzak sunucu ile iletişim kurma gibi gelişmiş fonksiyonlar içeriyor. Dosya indirme yöntemleri arasında curl, PowerShell, MSXML2.XMLHTTP, WinHTTP.WinHttpRequest.5.1, bitsadmin ve certutil.exe gibi LOLBin’ler yer alıyor.

Altyapı ve İlişkili Tehditler

CountLoader, 20’den fazla benzersiz alan adıyla desteklenen altyapısı sayesinde Cobalt Strike, AdaptixC2 ve PureHVNC RAT gibi araçlara kanal görevi görüyor. PureHVNC RAT, PureRAT (ResolverRAT) öncüsünün ticari ürünü olup, sahte iş teklifleriyle kurbanları ClickFix oltalama sayfasına yönlendiren kampanyalarda Rust tabanlı yükleyiciyle dağıtılıyor.

Operasyonel Bağlantılar ve Siber Suç Ekosistemi

DomainTools Investigations ekibi, Rus fidye yazılımı ortamındaki gruplar arası hareketlilik ve AnyDesk ile Quick Assist gibi araçların kullanımını tespit etti. Operatörler arasında marka bağlılığı zayıf olmakla birlikte, insan sermayesi ve güven ilişkileri kritik önemde. Bu durum, piyasa koşullarına uyum sağlama ve yeniden organizasyon süreçlerini beraberinde getiriyor.

, , , , , , ,