TransferLoader Kötü Amaçlı Yazılım

Güvenlik araştırmacıları, RomCom RAT'ın arkasındaki kötü şöhretli aktörler ile TransferLoader adlı bir kötü amaçlı yazılım yükleyicisi arasında bağlantılar kuruyor. Casusluk ve fidye yazılımı saldırılarıyla varlıkları hedef alan bu kampanya, yakın inceleme gerektiren karmaşık teknikleri ve örtüşen altyapıları vurguluyor.

İki Tehdit Aktörü Kümesi: TA829 ve UNK_GreenSec

Siber güvenlik araştırmacıları TransferLoader ile ilgili faaliyetleri iki temel tehdit aktörü grubuna bağladılar:

• TA829, RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 ve Void Rabisu gibi takma adlarla da takip ediliyor.
• UNK_GreenSec, benzer taktiklerle paralel faaliyet gösteren daha az bilinen bir kümedir.

TA829, casusluk ve finansal olarak motive edilmiş saldırıları birleştiren hibrit operasyonlarıyla özellikle dikkat çekiyor. Rusya yanlısı bu grup, daha önce yüksek değerli küresel kuruluşları hedef alan RomCom RAT'ı dağıtmak için Mozilla Firefox ve Microsoft Windows'taki sıfır günlük güvenlik açıklarından yararlandı.

TransferLoader: Kötü Amaçlı Yazılım Kampanyalarında Ortaya Çıkışı ve Rolü

TransferLoader ilk olarak Şubat 2025'te HellCat fidye yazılımının yeniden markalanmış versiyonu olan Morpheus fidye yazılımını içeren bir kampanya sırasında tanımlandı. Kötü amaçlı yazılım, ismi açıklanmayan ABD merkezli bir hukuk firmasına karşı kullanıldı. RomCom'un aksine TransferLoader, esas olarak gizli bir dağıtım mekanizması olarak hizmet eder ve Metasploit ve Morpheus gibi ek kötü amaçlı yüklerin dağıtımını sağlar.

TransferLoader'ın misyonu basit: tespit edilmeden kalmak ve daha fazla kötü amaçlı yazılım dağıtmak.

REM Proxy Altyapısını Kullanma

Hem TA829 hem de UNK_GreenSec, genellikle tehlikeye atılmış MikroTik yönlendiricilerde barındırılan REM Proxy hizmetlerine güvenir. Bu proxy'ler, kötü amaçlı trafiği yönlendirmek ve gerçek kaynağını gizlemek için kullanılır. Gruplar bu altyapıyı şu amaçlarla kullanır:

• Ücretsiz e-posta servisleri (örneğin Gmail, ukr.net) aracılığıyla kimlik avı e-postaları gönderin
• Yukarı akış etkinliğini gizlemek için röle trafiği
• Hem yeni oluşturulan hem de tehlikeye atılan e-posta hesaplarını kullanarak kampanyalar başlatın

Araştırmacılar, ximajazehox333@gmail.com ve hannahsilva1978@ukr.net gibi gönderici adreslerini toplu olarak üreten e-posta oluşturma araçlarının kimlik avı dağıtımı için kullanıldığından şüpheleniyor.

Kimlik Avı Mekaniği ve Yük Teslimatı

Her iki küme tarafından gönderilen kimlik avı mesajları genellikle e-posta gövdesine veya PDF eklerine gömülü bağlantılar içerir. Bu bağlantılara tıklayan kurbanlar, Rebrandly aracılığıyla bir dizi yönlendirmeye tabi tutulur ve sonunda sahte Google Drive veya Microsoft OneDrive sayfalarına inerler. Bu yönlendirmeler şunlara yönelik mekanizmaları içerir:

• Sandbox ortamlarını atla
• İlginizi çekmeyen sistemleri filtreleyin
• Tehdit grubuna bağlı olarak farklı nihai yükler sunun

Farklı Saldırı Yolları :

• UNK_GreenSec, TransferLoader'ı dağıtmak için bu rotayı kullanır
• TA829 hedefleri SlipScreen kötü amaçlı yazılımına yönlendiriyor

Paylaşılan Araçlar ve Altyapı

Her iki aktör grubu da örtüşen araç setleri ve altyapı seçimleri sergiliyor:

• SSH tünelleri kurmak için PuTTY'nin PLINK yardımcı programının kullanımı
• IPFS (InterPlanetary File System) hizmetlerinde kötü amaçlı yardımcı programların barındırılması
• Trafik filtreleme için dinamik PHP tabanlı yönlendirme uç noktalarından yararlanma

Bu paylaşılan yöntemler, etkili taktiklerin eşgüdümünü veya karşılıklı benimsenmesini akla getiriyor.

Sosyal Mühendislik Temaları ve Teslimat Taktikleri

TransferLoader'ı içeren kampanyalar genellikle iş fırsatı e-postaları gibi görünür ve kurbanları PDF özgeçmişlerine yönlendirdiğini iddia eden bağlantılarla cezbeder. Gerçekte, bağlantı IPFS web paylaşımlarında barındırılan TransferLoader'ın indirilmesini tetikler.

TransferLoader İşlemlerinin Temel Teknik Özellikleri

Tespitten Kaçınır – Geleneksel savunmaları aşmak için yönlendirme, filtreleme ve merkezi olmayan barındırma kullanır.

Yük Dağıtımı – Fidye yazılımları ve uzaktan erişim araçları da dahil olmak üzere daha tehlikeli kötü amaçlı yazılımlar için yükleyici görevi görür.

Farklılaştırılmış Teknikler – Dinamik içerik dağıtımını desteklemek için benzersiz yönlendirme yapıları (JavaScript'ten PHP uç noktalarına) kullanır.

Sonuç: TransferLoader Tehditini Anlamak

TransferLoader, yüksek etkili saldırıları etkinleştirebilen gizli bir yükleyici olarak önemli bir tehdit oluşturmaktadır. Hem UNK_GreenSec hem de TA829 tarafından kullanımı, siber suçlu gruplarının tespit edilmekten kaçınmak ve hedeflerine ulaşmak için nasıl yenilik yapmaya, araçları paylaşmaya ve merkezi olmayan altyapıyı kullanmaya devam ettiğini göstermektedir.

TransferLoader tehdidinin göstergeleri şunlardır:

• REM Proxy hizmetlerinin kullanımı
• İş başvurularına veya özgeçmişlere atıfta bulunan e-posta cazibeleri
• Rebrandly bağlantılarını içeren yönlendirme zincirleri
• IPFS tabanlı platformlarda barındırılan yükler

Kuruluşlar uyanık olmalı, güçlü e-posta ve web filtrelemeleri uygulamalı ve bu taktiklerle bağlantılı anormal ağ davranışlarını sürekli olarak izlemelidir.