Nowa odsłona ZLoader – zaawansowane zagrożenie z DNS Tunnel
W świecie cyberbezpieczeństwa pojawiła się nowa wersja znanego złośliwego oprogramowania ZLoader, która wykorzystuje tunelowannie przez DNS (Domain Name System) do komunikacji z serwerami dowodzenia i kontroli (C2). Eksperci ds. bezpieczeństwa ujawnili, że twórcy tego narzędzia nadal intensywnie pracują nad jego udoskonaleniem, wprowadzając innowacje, które znacząco zwiększają jego skuteczność. Powrót ZLoadera po niemal rocznej przerwie wskazuje na jego rosnące znaczenie w środowisku cyberzagrożeń.
W najnowszej analizie przeprowadzonej przez Zscaler ThreatLabz zwrócono uwagę na kluczowe zmiany w wersji 2.9.4.0 tego zagrożenia. „ZLoader wprowadza zauważalne ulepszenia, takie jak własny protokół tunelowania DNS do komunikacji z serwerami C2 oraz interaktywna powłoka obsługująca kilkanaście komend. Te zmiany mogą być szczególnie podatne na wykorzystanie w atakach z wykorzystaniem ransomware” – poinformowano w raporcie. Zmodyfikowana wersja zapewnia także większą odporność na wykrywanie oraz działania mające na celu jej unieszkodliwienie.
Zaawansowana ewolucja ZLoader
ZLoader, znany również jako Terdot, DELoader lub Silent Night, to złośliwy program typu loader, który służy do wdrażania kolejnych etapów złośliwego oprogramowania. Po raz pierwszy zauważony w kampaniach malware’owych we wrześniu 2023 roku po przerwie wywołanej zniszczeniem jego infrastruktury, ZLoader powraca w nowym wcieleniu. Program potrafi wdrażać różnorodne techniki, aby utrudniać analizy specjalistom ds. bezpieczeństwa.
Wersja ta wykorzystuje także domenowy algorytm generujący (DGA), co pozwala na dynamiczne tworzenie nazw domen, minimalizując ryzyko blokowania przez filtry bezpieczeństwa. Wykorzystuje również mechanizmy zapożyczone z trojana bankowego Zeus, aby unikać wykonywania na systemach różniących się od pierwotnego środowiska infekcji.
Kampanie ransomware i nowe techniki
W ostatnich miesiącach ZLoader coraz częściej był powiązany z atakami ransomware, szczególnie tymi przeprowadzanymi przez grupę Black Basta. Cyberprzestępcy używają ZLoadera, aby przenikać do systemów, na przykład za pomocą połączeń zdalnego pulpitu podszywając się pod techników wsparcia technicznego. Proces ataku obejmuje wdrożenie ładunku o nazwie GhostSocks, który następnie wprowadza samego ZLoadera do systemu ofiary.
Eksperci z Zscaler zauważyli, że ZLoader stale rozwija swoje techniki zapobiegające analizie, m.in. za pomocą kontroli środowiska oraz zaawansowanych algorytmów rozwiązywania importu API. Dzięki temu skutecznie unika wykrycia zarówno przez statyczne sygnatury, jak i piaskownice używane do analizy zagrożeń.
Interaktywna powłoka i analiza tunelowania DNS
Jedną z nowych funkcji wprowadzonej w najnowszej wersji ZLoader jest interaktywna powłoka, która umożliwia cyberprzestępcom wykonywanie dowolnych plików binarnych, bibliotek DLL i kodów powłokowych, a także eksfiltrację danych i zatrzymywanie procesów. Te zaawansowane funkcje znacznie zwiększają możliwości działań napastników i potencjał ZLoadera jako narzędzia do przeprowadzania kolejnych etapów ataków.
Choć ZLoader nadal wykorzystuje protokół HTTPS z żądaniami POST jako główny kanał komunikacji z serwerami C2, wprowadzenie funkcji tunelowania DNS stanowi istotne ulepszenie. Dzięki temu możliwe jest kierowanie ruchu sieciowego przez szyfrowane pakiety TLS, co znacząco utrudnia jego wykrycie i monitorowanie. Metoda ta podkreśla rosnący wysiłek grupy cyberprzestępczej na rzecz ukrywania swojego działania.
Zloader jako furtka dla nowych zagrożeń
Jak podkreślają analitycy, metodyka rozprzestrzeniania ZLoadera oraz nowe możliwości komunikacji poprzez tunelowanie DNS sugerują, że grupa odpowiedzialna za to zagrożenie kładzie dużą wagę na unikanie wykrycia przez zespoły ds. bezpieczeństwa. Zloader systematycznie dodaje nowe funkcje oraz udoskonala swoje mechanizmy, aby jeszcze sprawniej działać jako broker dostępu początkowego dla kampanii ransomware i innych zaawansowanych cyberzagrożeń.
