CountLoader
A Silent Push kutatói új, CountLoader nevű malware loadert fedeztek fel, amelyet orosz ransomware csoportokhoz kötnek, mint a LockBit, BlackBasta és Qilin. Három változatban működik: .NET, PowerShell és JScript/HTA, és különösen aktív Ukrajnában, ahol PDF-csalit használnak, amely ukrán rendőrségnek álcázza magát. A CountLoader többféle payloadot is le tud tölteni, többek között Cobalt Strike-ot és Adaptix C2-t, és különböző technikákat alkalmaz a fertőzés elrejtésére. A JScript-verzió a legfejlettebb, .hta fájlból fut, több letöltési és végrehajtási módszerrel. A loader gyakran használt Music mappába menti a letöltéseket, hogy ne keltsen feltűnést.
Silent Push közleménye szerint az IOFA™ (Indicators Of Future Attack) listáik tartalmazzák azokat a domaineket és IP-kat, amelyek a CountLoaderhez kapcsolódnak, és javasolják ezek priorizált figyelését a védelmi rendszerekben.
