Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), GodRAT adlı yeni bir Uzaktan Erişim Truva atını ortaya çıkardı. Bu Truva atı, finansal belgeler gibi görünen kötü amaçlı ekran koruyucu dosyaları aracılığıyla dağıtıldı ve Mart 2025’e kadar Skype üzerinden iletildi. Ardından diğer kanallara geçti. Kampanya boyunca BAE, Hong Kong, Ürdün ve Lübnan’daki KOBİ’ler hedef alındı.
Tehdit aktörü, 2024 yılının Temmuz ayında popüler bir çevrimiçi tarayıcıda bir müşterinin kaynak kodunda bulunan ve GodRAT adlı yeni tanımlanmış Uzaktan Erişim Truva Atını (RAT) kullandı. GodRAT V3.5_______dll.rar adlı arşiv, hem çalıştırılabilir hem DLL yükleri oluşturabilen GodRAT oluşturucuyu da içeriyor. Bu oluşturucu, saldırganların kod enjeksiyonu için meşru işlem adlarını seçerek (ör. svchost.exe, cmd.exe, wscript.exe) ve son dosyayı .exe, .com, .bat, .scr ve .pif gibi çeşitli formatlarda kaydederek kötü amaçlı yükü gizlemelerine olanak tanıyor.
Saldırganlar, tespit edilmekten kaçınmak için finansal verileri gösteren görüntü dosyalarına kabuk kodu yerleştirmek için steganografi tekniğini kullandılar. Bu kabuk kodu, GodRAT kötü amaçlı yazılımını bir Komuta ve Kontrol (C2) sunucusundan indiriyor. RAT daha sonra yapılandırma bloğunda belirtilen bağlantı noktasını kullanarak C2 sunucusuna bir TCP bağlantısı kuruyor. İşletim sistemi ayrıntılarını, yerel ana bilgisayar adını, kötü amaçlı yazılım işlem adını ve işlem kimliğini, kötü amaçlı yazılım işlemiyle ilişkili kullanıcı hesabını, yüklü antivirüs yazılımını ve yakalama sürücüsünün varlığını topluyor.
GodRAT eklentileri de destekliyor. Bir kez yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek için FileManager eklentisini kullandılar ve kimlik bilgilerini ele geçirmek için Chrome ve Microsoft Edge’i hedef alan şifre hırsızlarını dağıttılar. GodRAT’a ek olarak, uzun süreli erişimi sürdürmek için ikincil bir implant olarak AsyncRAT’ı da kullandılar.
Kaspersky Küresel Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Saurabh Sharma, konuya ilişkin şunları söyledi: “GodRAT, Kaspersky tarafından 2023 yılında rapor edilen ve muhtemelen Winnti APT ile bağlantılı olan AwesomePuppet’ın bir evrimi gibi görünüyor. Dağıtım yöntemleri, nadir komut satırı parametreleri, Gh0st RAT ile kod benzerlikleri ve ortak kalıntıları (örneğin, ayırt edici parmak izi başlığı), ortak bir kökeni işaret ediyor. Neredeyse yirmi yıllık olmasına rağmen Gh0st RAT gibi eski implant kod tabanları tehdit aktörleri tarafından aktif olarak kullanılmaya devam ediyor, genellikle çeşitli kurbanları hedeflemek için özelleştirilip yeniden oluşturuluyor. GodRAT’ın keşfi, bu tür uzun süredir bilinen araçların günümüzün siber güvenlik ortamında nasıl hala geçerli olabileceğini gösteriyor.”
Kaynak: (BYZHA) Beyaz Haber Ajansı
