U značajnoj evoluciji svojih napadačkih sposobnosti, grupa za ransomware Agenda nedavno je u svoj arsenal uključila maliciozni softver SmokeLoader i novi .NET program za učitavanje pod nazivom NETXLOADER.
Ovaj razvoj događaja, uočen u kampanjama započetim tokom novembra 2024. godine, označava značajno unaprijeđenje tehničke sofisticiranosti i sposobnosti hakera da izbjegnu mehanizme detekcije, a istovremeno maksimizuju uticaj svojih napada.
Prema nedavnim podacima o napadima iz prvog kvartala 2025. godine, ransomware Agenda je prvenstveno ciljao organizacije u sektorima zdravstva, tehnologije, finansijskih usluga i telekomunikacija.
Geografski opseg ovih napada obuhvata više zemalja, uključujući Sjedinjene Američke Države, Holandiju, Brazil, Indiju i Filipine.
Značajno je da je sam ransomware prošao kroz transformaciju od razvoja u programskom jeziku Go do jezika Rust, uključujući napredne funkcije poput udaljenog izvršavanja i poboljšanih mogućnosti širenja unutar virtualnih okruženja.
Istraživači kompanije Trend Micro su utvrdili da ovaj novi lanac napada koristi SmokeLoader kao posredni korisni teret, dok NETXLOADER služi kao početni učitivač koji olakšava implementaciju naknadnih malicioznih komponenti.
„Novi program za učitavanje podataka predstavlja povećan rizik od krađe osjetljivih podataka i kompromitovanja uređaja za mete zbog svog prikrivenog ponašanja“, napomenuo je istraživački tim u svojoj sveobuhvatnoj analizi objavljenoj 7. maja 2025. godine.
Pojava NETXLOADER-a povezana je s raširenom infrastrukturom malicioznih domena dizajniranih da izbjegnu otkrivanje.
Hakeri koriste jednokratne, dinamički generisane domene kao što su bloglake7[.]cfd, mxbook17[.]cfd i mxblog77[.]cfd za hostovanje korisnih podataka, često maskiranih kao benigne usluge povezane s blogovima.
Ove domene slijede poseban obrazac, kombinujući riječi sa nasumičnim brojevima i domene najvišeg nivoa niske reputacije kako bi stvorile platforme za privremeni hosting.
Lanac napada počinje s NETXLOADER-om, napreduje kroz SmokeLoader i kulminira implementacijom Agenda ransomware-a, stvarajući višefazni proces infekcije koji maksimizuje prikrivenost, a istovremeno osigurava efikasnu isporuku i izvršenje korisnog tereta.
.webp)
Analiza NETXLOADER-a
NETXLOADER predstavlja značajan napredak u tehnologiji učitavanja, zaštićen .NET Reactor 6 obfuskacijom koja koristi obfuskaciju toka kontrole, zaštitu od neovlašćenih promjena i anti-ILDASM funkcije, što reverzni inženjering čini izuzetno izazovnim.
Učitavač dinamički učitava sklop iz dešifrovanog resursa, a zatim iterira kroz njegove tipove kako bi pozvao metode sa obfusciranim imenima koristeći refleksiju.
Ključna karakteristika NETXLOADER-a je njegova upotreba JIT tehnika povezivanja, posebno usmjerenih na funkciju compileMethod() biblioteke clrjit.dll.
Povezuje se s ovom funkcijom kako bi dinamički zamijenio metode rezerviranih mjesta stvarnim MSIL bajtkodom tokom izvođenja, efektivno izbjegavajući tradicionalne mehanizme detekcije .
Struktura koda programa za učitavanje otkriva sofisticirane tehnike izbjegavanja:
// Token: 0x06000002 RID: 2 RVA: 0x000020B4 File Offset: 0x00000284
public static void Main()
{
string username = Environment.UserName;
Assembly assembly = null;
try
{
assembly = Assembly.Load(username);
}
catch
{
assembly = Assembly.Load(Kjeeqlm.Duivbgikpyx().Decrypt());
}
Type[] types = assembly.GetTypes();
for (int i = 0; i < types.Length; i++)
{
Type type = types[i];
if (!(type == null) && !type.IsEnum)
{
try
{
type.InvokeMember("c0AqjVLHS", BindingFlags.InvokeMethod, null, null, null);
}
catch
{
}
}
}
}Nakon dešifrovanja, NETXLOADER koristi AES za dešifrovanje svog korisnog tereta, koji se zatim dekomprimira pomoću GZipStream-a.
Dekomprimisani korisni sadržaj sadrži shellcode koji na kraju dovodi do izvršavanja SmokeLoader-a, koji zauzvrat preuzima i izvršava Agenda ransomware.
Distribucija malicioznog softvera je pažljivo orkestrirana, a izvršne datoteke usvajaju standardizovane konvencije imenovanja na sistemima žrtve.
Na primjer, datoteke s pseudo-nasumičnim imenima poput rh10j0n.exe pojednostavljene su u standardni format s prefiksom od dva do tri slova nakon kojeg slijedi 111.exe, stvarajući lažni osjećaj legitimnosti dok istovremeno odvaja identitet korisnog tereta od njegovog imena datoteke.
Izvor: CyberSecurityNews