Kaspersky, Skype Messenger aracılığıyla finans kurumlarını gaye alan yeni bir uzaktan erişim Truva atı keşfetti

BEĞENDİM

ABONE OL

News

Kaspersky Global Araştırma ve Tahlil Grubu (GReAT), GodRAT isimli yeni bir Uzaktan Erişim Truva atını ortaya çıkardı. Bu Truva atı, finansal evraklar üzere görünen berbat emelli ekran esirgeyici belgeleri aracılığıyla dağıtıldı ve Mart 2025’e kadar Skype üzerinden iletildi. Akabinde öbür kanallara geçti. Kampanya boyunca BAE, Hong Kong, Ürdün ve Lübnan’daki KOBİ’ler gaye alındı.

Tehdit aktörü, 2024 yılının Temmuz ayında tanınan bir çevrimiçi tarayıcıda bir müşterinin kaynak kodunda bulunan ve GodRAT isimli yeni tanımlanmış Uzaktan Erişim Truva Atını (RAT) kullandı. GodRAT V3.5_______dll.rar adlı arşiv, hem çalıştırılabilir hem DLL yükleri oluşturabilen GodRAT oluşturucuyu da içeriyor. Bu oluşturucu, saldırganların kod enjeksiyonu için yasal süreç isimlerini seçerek (ör. svchost.exe, cmd.exe, wscript.exe) ve son belgeyi .exe, .com, .bat, .scr ve .pif üzere çeşitli formatlarda kaydederek berbat maksatlı yükü gizlemelerine imkan tanıyor.

Saldırganlar, tespit edilmekten kaçınmak için finansal bilgileri gösteren imaj evraklarına kabuk kodu yerleştirmek için steganografi tekniğini kullandılar. Bu kabuk kodu, GodRAT makûs emelli yazılımını bir Komuta ve Denetim (C2) sunucusundan indiriyor. RAT daha sonra yapılandırma bloğunda belirtilen irtibat noktasını kullanarak C2 sunucusuna bir TCP irtibatı kuruyor. İşletim sistemi detaylarını, lokal ana bilgisayar ismini, makûs maksatlı yazılım süreç ismini ve süreç kimliğini, makus gayeli yazılım süreciyle bağlantılı kullanıcı hesabını, yüklü antivirüs yazılımını ve yakalama şoförünün varlığını topluyor.

GodRAT eklentileri de destekliyor. Bir sefer yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek için FileManager eklentisini kullandılar ve kimlik bilgilerini ele geçirmek için Chrome ve Microsoft Edge’i amaç alan şifre hırsızlarını dağıttılar. GodRAT’a ek olarak, uzun müddetli erişimi sürdürmek için ikincil bir implant olarak AsyncRAT’ı da kullandılar.

Kaspersky Global Araştırma ve Tahlil Grubu Güvenlik Araştırmacısı Saurabh Sharma, mevzuya ait şunları söyledi: “GodRAT, Kaspersky tarafından 2023 yılında rapor edilen ve muhtemelen Winnti APT ile ilişkili olan AwesomePuppet’ın bir evrimi üzere görünüyor. Dağıtım yolları, az komut satırı parametreleri, Gh0st RAT ile kod benzerlikleri ve ortak kalıntıları (örneğin, ayırt edici parmak izi başlığı), ortak bir kökeni işaret ediyor. Neredeyse yirmi yıllık olmasına karşın Gh0st RAT üzere eski implant kod tabanları tehdit aktörleri tarafından faal olarak kullanılmaya devam ediyor, çoklukla çeşitli kurbanları hedeflemek için özelleştirilip yine oluşturuluyor. GodRAT’ın keşfi, bu cins uzun müddettir bilinen araçların günümüzün siber güvenlik ortamında nasıl hala geçerli olabileceğini gösteriyor.”

Kaynak: (BYZHA) Beyaz Haber Ajansı