Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), Skype Messenger aracılığıyla finans kurumalarını hedef alan "GodRAT" adlı yeni bir uzaktan erişim Truva atını (RAT) ortaya çıkardı.
Şirketten yapılan açıklamaya göre, finansal belgeler gibi görünen kötü amaçlı ekran dosyaları aracılığıyla dağıtılan bu siber tehdit, mart ayına kadar Skype uygulaması üzerinden iletildi ve ardından diğer kanallara geçti.
Yayılım ağını diğer uygulamaları kapsayacak şekilde genişleten Truva atı saldırıları boyunca Birleşik Arap Emirlikleri (BAE), Hong Kong, Ürdün ve Lübnan'daki KOBİ'ler hedef alındı.
Araştırmacılar, siber tehdidi, geçen yılın temmuz ayında popüler bir çevrim içi tarayıcıda bir müşterinin kaynak kodunda ortaya çıkan güvenlik açığında gözlemledi. "GodRAT V3.5_______dll.rar" adlı arşiv, hem çalıştırılabilir hem DLL dosya türlerinde kötü amaçlı yükler oluşturabilen GodRAT oluşturucuyu da içeriyor. Bu oluşturucu, saldırganların kod enjeksiyonu için "svchost.exe", "cmd.exe", "wscript.exe" gibi meşru işlem adlarını seçiyor. Tehdit, son dosyayı ".exe", ".com", ".bat", ".scr" ve ".pif" gibi çeşitli formatlarda kaydederek kötü amaçlı yükü gizlemelerine olanak tanıyor.
Saldırganlar, tespit edilmekten kaçınarak finansal verileri gösteren görüntü dosyalarına kabuk kodu yerleştirmek için steganografi tekniğini kullanıyor. Bu kabuk kodu, GodRAT kötü amaçlı yazılımını bir komuta ve kontrol (C2) sunucusundan indiriyor.
Siber tehdit, yapılandırma bloğunda belirtilen bağlantı noktasını kullanarak C2 sunucusuna bir TCP bağlantısı kuruyor. İşletim sistemi ayrıntılarını, yerel ana bilgisayar adını, kötü amaçlı yazılım işlem adını ve işlem kimliğini, kötü amaçlı yazılım işlemiyle ilişkili kullanıcı hesabını, yüklü antivirüs yazılımını ve yakalama sürücüsünün varlığını topluyor.
- Popüler internet tarayıcılarını hedef alıyor
GodRAT, eklentileri de destekliyor. Bir kez yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek amacıyla FileManager eklentisini kullanıyor. Bu yolla, kurbanın kimlik bilgilerini ele geçirmek için Chrome ve Microsoft Edge'i hedef alan şifre hırsızlığı sağlanıyor. GodRAT'a ek olarak, uzun süreli erişimi sürdürmek için AsyncRAT'tan da faydalanılıyor.
Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Saurabh Sharma, GodRAT'ın, Kaspersky tarafından 2023'de rapor edilen ve muhtemelen "Winnti APT" ile bağlantılı AwesomePuppet'ın gelişmiş bir versiyonu olabileceğini belirtti.
Sharma, "GodRAT'ın dağıtım yöntemleri, nadir komut satırı parametreleri, Gh0st RAT ile kod benzerlikleri ve ayırt edici parmak izi başlığı gibi ortak kalıntıları, ortak bir kökeni işaret ediyor." değerlendirmesinde bulundu.
Gh0st RAT gibi implant kod tabanlarının, neredeyse 20 yıllık olmasına rağmen tehdit aktörleri tarafından aktif olarak kullanılmaya devam ettiğini aktaran Sharma, şunları kaydetti:
"Bu kod tabanları, genellikle çeşitli kurbanları hedeflemek için özelleştirilip yeniden oluşturuluyor. GodRAT'ın keşfi, bu tür uzun süredir bilinen araçların günümüzün siber güvenlik ortamında nasıl hala geçerli olabileceğini gösteriyor."
Kaspersky uzmanları, bu tür tehditlere karşı korunmak için yazılımlardaki güvenlik açıklarından faydalanan suçlulara karşı işletim sistemlerinin ve tüm programların güncel tutulmasını, kurumsal düzeyde ise gelişmiş güvenlik çözümlerinin kullanılmasını öneriyor. Bireysel kullanıcıların ise yanıltıcı dosya adlarına kanmamak amacıyla dosya uzantılarını görünür hale getirmesi ve özellikle ".exe", ".vbs" ve ".scr" gibi uzantılara sahip şüpheli dosyaları açmaması gerektiği vurgulanıyor.
Kaynak: Anadolu Ajansı