Обнаружен новый загрузчик вредоносного ПО CountLoader

CountLoader, по данным исследователей, применяется либо как инструмент брокеров первоначального доступа (Initial Access Broker, IAB), либо непосредственно партнерами групп вымогателей LockBit, BlackBasta и Qilin. Одним из недавних примеров его использования стала фишинговая кампания с использованием поддельного PDF-документа, имитирующего уведомление от украинской полиции, направленная на граждан Украины.

Технический анализ показал, что загрузчик способен доставлять на целевые устройства различные виды вредоносных агентов, включая CobaltStrike и AdaptixC2. Эти данные позволили исследователям связать CountLoader с ранее зафиксированными атаками вымогателей. Версия на JScript, упакованная в .hta-файл, оказалась наиболее функциональной - она поддерживает шесть методов загрузки файлов, три способа выполнения кода и механизмы для сбора системной информации.

В ходе расследования также была изучена .NET-версия загрузчика, которая содержит несколько функций-«kill-switch», активирующихся после определённой даты, что препятствует её запуску. Кроме того, в коде обнаружены следы использования русского языка и упоминания российских сервисов, таких как Yandex, что дополнительно указывает на происхождение угрозы.

Аналитики Silent Push разработали специальные индикаторы будущих атак (Indicators Of Future Attack, IOFA), которые позволяют организациям заблаговременно выявлять активность CountLoader. Рекомендуется интегрировать эти данные в системы безопасности для усиления защиты от развивающейся угрозы.

Эксперты подчёркивают, что CountLoader продолжает эволюционировать, и призывают компании, особенно тех, кто ранее подвергался атакам со стороны российских киберпреступников или APT-групп, усилить мониторинг и проактивные меры безопасности.

Для получения дополнительной информации и доступа к полному отчёту организациям предлагается зарегистрироваться в Silent Push Community Edition или обратиться к enterprise-решениям платформы.

IPv4

• 162.220.61.172
• 180.131.145.73
• 184.174.96.67
• 45.61.150.76
• 88.119.174.107

IPv4 Port Combinations

• 109.176.30.246:56001
• 109.176.30.246:56002
• 109.176.30.246:56003
• 109.176.30.246:56004

Domains

• app-updater.app
• app-updater1.app
• gizqt.xyz
• grouptelecoms.com
• limenlinon.com
• misctoolsupdate.com
• officetoolservices.com
• onlinenetworkupdate.com
• quasuar.com

URLs

• d31tef3bsujkft.cloudfront.net/safebrowsing/rd/CltOb12nLW1IbHehcmUtd2hUdmFzEBAY7-0KIOkUDC7h2
• http://64.137.9.118/__utm.gif
• http://64.137.9.118/dpixel
• https://64.137.9.118/api
• https://chifacanton.phuyufact.com/images/sot/e/Xojwecqy.exe
• https://chifacanton.phuyufact.com/images/sot/m/git.msi

SHA256

• 233c777937f3b0f83b1f6ae47403e03d1c3f72f650b4c6ae3facec7f2e5da4b5
• 4cb6ec9522d8c1315cd3a2985d2204c634edc579b08a1b132254bd7dd5df72d8
• 5e9647e36d2fb46f359036381865efb0e432ff252fae138682cb2da060672c84
• 8a286a315dba36b13e61b6a3458a4bb3acb7818f1e957e0892a35abb37fc9fce
• b86adcf7b5b8a6e01c48d2c84722919df2d1c613410c32eb43fc8c10b8158c45
• d34ca886266b7ce5f75f4caaa6e48f61e194bb55605c2bc4032ba8af5580b2e7
• ea410874356e7d27867a4e423f1a818aaea495dfbf068243745c27b80da84fae