HijackLoader

Utplaceringen av HijackLoader av hotaktörer har blivit allt vanligare på grund av dess effektivitet i att injicera skadlig kod i legitima processer, vilket underlättar diskret exekvering av nyttolaster. Denna teknik tillåter dem att undvika upptäckt genom att använda betrodda applikationer för osäkra aktiviteter, vilket skapar en mer utmanande miljö för säkerhetsåtgärder för att identifiera och motverka hotet effektivt. Observationer av forskare avslöjar fall av HijackLoader (även känd som IDAT Loader) som använder sofistikerade tekniker för att undvika upptäckt.

HijackLoader uppvisar utvecklade hotfulla funktioner

Forskare har identifierat utvecklingen av HijackLoader, som innehåller nya tekniker för försvarsundandragande som processurhålning, rörutlöst aktivering och en kombination av processdubbelgång. Dessa förbättringar förbättrar dess smyghet och komplexitet, vilket gör analysen mer utmanande. Dessutom använder den skadliga programvaran extra avkrokningstekniker, vilket ytterligare bidrar till dess undvikande kapacitet.

Den sofistikerade HijackLoader initierar sin verksamhet genom streaming_client.exe, vilket fördunklar en konfiguration för att motverka statisk analys. Genom att använda WinHTTP API:er testar den internetanslutning genom att nå ut till https://nginx.org. Efter lyckad anslutning hämtar den en andrastegskonfiguration från en fjärrserver.

När den väl är utrustad med konfigurationen i andra steget söker den skadliga programvaran efter PNG-huvudbyte och ett specifikt magiskt värde. Därefter dekrypterar den informationen med XOR och dekomprimerar den genom RtlDecompressBuffer API. Nästa steg innebär att ladda en legitim Windows DLL specificerad i konfigurationen, skriva skalkoden till dess .text-avsnitt för exekvering. Den använder Heaven's Gate för att kringgå användarlägeskrokar och injicerar ytterligare skalkoder i cmd.exe. Skalkoden i tredje steget injicerar en slutlig nyttolast, som en Cobalt Strike- fyr, i logagent.exe med hjälp av process ihålning.

HijackLoader använder olika evasionstrategier, inklusive Heaven's Gate hook bypass och lossa DLL:er övervakade av säkerhetsverktyg. Den använder processurhålningsvariationer och transagerad ihålning för injektion, kombinerar transakterad sektion och processdubbelgängning med DLL-urhålning för att undvika upptäckt ytterligare.

HijackLoader är utrustad med flera antidetekteringstekniker

De primära undandragningsteknikerna som används av HijackLoader och Shellcode inkluderar:

• Hook Bypass:
• Himlens port
• Avkrokning
• Process Hålning Variation

Användningen av HijackLoader understryker den avgörande betydelsen av proaktiva cybersäkerhetsåtgärder för att identifiera och förhindra sådana smygande attacker.

Organisationer bör lägga tonvikt på rutinmässiga säkerhetsrevisioner, implementera robust slutpunktsskydd och hålla sig informerad om nya hot för att försvara sig mot den utvecklande taktiken som effektivt används av illasinnade aktörer.

Utöver dessa åtgärder spelar användarutbildning och utbildning i medvetenhet en avgörande roll för att mildra de associerade riskerna med dessa sofistikerade attackvektorer.