CountLoader mở rộng hoạt động ransomware Nga với Multi-Version Malware Loader

[Starlink]

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một trình tải phần mềm độc hại mới có tên mã là CountLoader đã được các băng nhóm ransomware của Nga sử dụng để cung cấp các công cụ sau khai thác như Cobalt Strike và AdaptixC2, cùng với một trojan truy cập từ xa có tên là PureHVNC RAT.

Silent Push cho biết trong một bài phân tích rằng: "CountLoader đang được sử dụng như một phần của bộ công cụ Initial Access Broker (IAB) hoặc bởi một chi nhánh ransomware có liên hệ với các nhóm ransomware LockBit, Black Basta và Qilin".

Xuất hiện trong ba phiên bản khác nhau   Đăng nhập để xem liên kết, PowerShell và JavaScript – mối đe dọa mới nổi này đã được phát hiện trong một chiến dịch nhắm vào các cá nhân ở Ukraine bằng cách sử dụng mồi lừa đảo dựa trên PDF và mạo danh Cảnh sát Quốc gia Ukraine.

Điều đáng chú ý là phiên bản PowerShell của phần mềm độc hại này trước đó đã bị Kaspersky đánh dấu là được phân phối bằng cách sử dụng các phần mềm lừa đảo liên quan đến DeepSeek để lừa người dùng cài đặt phần mềm này.

Theo nhà cung cấp an ninh mạng của Nga, các cuộc tấn công đã dẫn đến việc triển khai một phần mềm cấy ghép có tên là BrowserVenom có thể cấu hình lại mọi phiên duyệt web để buộc lưu lượng truy cập phải đi qua một proxy do kẻ tấn công kiểm soát, cho phép kẻ tấn công thao túng lưu lượng truy cập mạng và thu thập dữ liệu.

Cuộc điều tra của Silent Push đã phát hiện ra rằng phiên bản JavaScript là phiên bản hoàn thiện nhất của trình tải, cung cấp sáu phương pháp khác nhau để tải tệp xuống, ba phương pháp khác nhau để thực thi nhiều tệp nhị phân phần mềm độc hại và một hàm được xác định trước để xác định thiết bị của nạn nhân dựa trên thông tin tên miền Windows.

Phần mềm độc hại này cũng có khả năng thu thập thông tin hệ thống, thiết lập sự tồn tại dai dẳng trên máy chủ bằng cách tạo một tác vụ theo lịch trình giả mạo tác vụ cập nhật của Google cho trình duyệt web Chrome và kết nối với máy chủ từ xa để chờ hướng dẫn tiếp theo.

Điều này bao gồm khả năng tải xuống và chạy các tệp tin cài đặt DLL và MSI bằng rundll32.exe và msiexec.exe, truyền siêu dữ liệu hệ thống và xóa tác vụ theo lịch trình đã tạo. Sáu phương pháp được sử dụng để tải xuống tệp bao gồm curl, PowerShell, MSXML2.XMLHTTP, WinHTTP.WinHttpRequest.5.1, bitsadmin và certutil.exe.

Silent Push cho biết: "Bằng cách sử dụng các LOLBins như 'certutil' và 'bitsadmin', và bằng cách triển khai trình tạo mã hóa lệnh PowerShell 'ngay lập tức', các nhà phát triển của CountLoader đã chứng minh được sự hiểu biết sâu sắc về hệ điều hành Windows và quá trình phát triển phần mềm độc hại".

Một khía cạnh đáng chú ý của CountLoader là việc sử dụng thư mục Music của nạn nhân làm nơi cài đặt phần mềm độc hại. Phiên   Đăng nhập để xem liên kết có một số điểm tương đồng về chức năng với phiên bản JavaScript, nhưng chỉ hỗ trợ hai loại lệnh khác nhau (UpdateType.Zip hoặc UpdateType.Exe), cho thấy đây là một phiên bản rút gọn, đơn giản hơn.

CountLoader được hỗ trợ bởi một cơ sở hạ tầng bao gồm hơn 20 tên miền riêng biệt, với phần mềm độc hại đóng vai trò là kênh dẫn cho Cobalt Strike, AdaptixC2 và PureHVNC RAT, trong đó mã độc cuối cùng là sản phẩm thương mại của một tác nhân đe dọa có tên là PureCoder. Cần lưu ý rằng PureHVNC RAT là tiền thân của PureRAT, còn được gọi là ResolverRAT.

Theo Check Point, các chiến dịch gần đây phân phối PureHVNC RAT đã lợi dụng chiến thuật tấn công mạng xã hội ClickFix đã được kiểm chứng như một phương thức lây lan, dụ nạn nhân đến trang lừa đảo ClickFix thông qua các lời mời làm việc giả mạo. Trojan này được triển khai thông qua trình tải dựa trên Rust.

Công ty an ninh mạng cho biết : "Kẻ tấn công đã dụ nạn nhân thông qua các quảng cáo việc làm giả mạo, cho phép kẻ tấn công thực thi mã PowerShell độc hại thông qua kỹ thuật lừa đảo ClickFix", đồng thời mô tả PureCoder sử dụng một tập hợp tài khoản GitHub luân phiên để lưu trữ các tệp hỗ trợ chức năng của PureRAT.

Phân tích các cam kết trên GitHub cho thấy hoạt động được thực hiện theo múi giờ UTC+03:00, tương ứng với nhiều quốc gia, bao gồm cả Nga.

Sự phát triển này diễn ra khi nhóm điều tra DomainTools phát hiện ra bản chất liên kết của bối cảnh ransomware Nga, xác định các hoạt động của tác nhân đe dọa trên nhiều nhóm và việc sử dụng các công cụ như AnyDesk và Quick Assist, cho thấy sự chồng chéo hoạt động.

"Lòng trung thành với thương hiệu của các nhà điều hành này còn yếu, và nguồn nhân lực dường như là yếu tố then chốt, chứ không phải các chủng phần mềm độc hại cụ thể", DomainTools cho biết. "Các nhà điều hành cần thích ứng với điều kiện thị trường, tái cấu trúc để ứng phó với các đợt triệt phá, và mối quan hệ tin cậy là rất quan trọng. Những cá nhân này sẽ chọn làm việc với những người họ quen biết, bất kể tên của tổ chức."