Kaspersky, Skype Messenger aracılığıyla finans kurumlarını gaye alan yeni bir uzaktan erişim Truva atı keşfetti

Kaspersky Global Araştırma ve Tahlil Grubu (GReAT), GodRAT isimli yeni bir Uzaktan Erişim Truva atını ortaya çıkardı. Bu Truva atı, finansal dokümanlar üzere görünen berbat maksatlı ekran gözetici belgeleri aracılığıyla dağıtıldı ve Mart 2025’e kadar Skype üzerinden iletildi. Akabinde öteki kanallara geçti. Kampanya boyunca BAE, Hong Kong, Ürdün ve Lübnan’daki KOBİ’ler amaç alındı.

Tehdit aktörü, 2024 yılının Temmuz ayında tanınan bir çevrimiçi tarayıcıda bir müşterinin kaynak kodunda bulunan ve GodRAT isimli yeni tanımlanmış Uzaktan Erişim Truva Atını (RAT) kullandı. GodRAT V3.5_______dll.rar adlı arşiv, hem çalıştırılabilir hem DLL yükleri oluşturabilen GodRAT oluşturucuyu da içeriyor. Bu oluşturucu, saldırganların kod enjeksiyonu için legal süreç isimlerini seçerek (ör. svchost.exe, cmd.exe, wscript.exe) ve son belgeyi .exe, .com, .bat, .scr ve .pif üzere çeşitli formatlarda kaydederek makus gayeli yükü gizlemelerine imkan tanıyor.

Saldırganlar, tespit edilmekten kaçınmak için finansal dataları gösteren manzara belgelerine kabuk kodu yerleştirmek için steganografi tekniğini kullandılar. Bu kabuk kodu, GodRAT makus maksatlı yazılımını bir Komuta ve Denetim (C2) sunucusundan indiriyor. RAT daha sonra yapılandırma bloğunda belirtilen ilişki noktasını kullanarak C2 sunucusuna bir TCP irtibatı kuruyor. İşletim sistemi detaylarını, lokal ana bilgisayar ismini, makûs emelli yazılım süreç ismini ve süreç kimliğini, berbat maksatlı yazılım süreciyle bağlı kullanıcı hesabını, yüklü antivirüs yazılımını ve yakalama şoförünün varlığını topluyor.

GodRAT eklentileri de destekliyor. Bir sefer yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek için FileManager eklentisini kullandılar ve kimlik bilgilerini ele geçirmek için Chrome ve Microsoft Edge’i gaye alan şifre hırsızlarını dağıttılar. GodRAT’a ek olarak, uzun periyodik erişimi sürdürmek için ikincil bir implant olarak AsyncRAT’ı da kullandılar.

Kaspersky Global Araştırma ve Tahlil Grubu Güvenlik Araştırmacısı Saurabh Sharma, bahse ait şunları söyledi: “GodRAT, Kaspersky tarafından 2023 yılında rapor edilen ve muhtemelen Winnti APT ile temaslı olan AwesomePuppet’ın bir evrimi üzere görünüyor. Dağıtım sistemleri, az komut satırı parametreleri, Gh0st RAT ile kod benzerlikleri ve ortak kalıntıları (örneğin, ayırt edici parmak izi başlığı), ortak bir kökeni işaret ediyor. Neredeyse yirmi yıllık olmasına karşın Gh0st RAT üzere eski implant kod tabanları tehdit aktörleri tarafından etkin olarak kullanılmaya devam ediyor, ekseriyetle çeşitli kurbanları hedeflemek için özelleştirilip yine oluşturuluyor. GodRAT’ın keşfi, bu cins uzun müddettir bilinen araçların günümüzün siber güvenlik ortamında nasıl hala geçerli olabileceğini gösteriyor.” 

Kaynak: (BYZHA) Beyaz Haber Ajansı