Kaspersky, Skype Messenger aracılığıyla finans kurumlarını hedef alan yeni bir uzaktan erişim Truva atı keşfetti

Kaspersky Global Araştırma ve Tahlil Grubu (GReAT), GodRAT isimli yeni bir Uzaktan Erişim Truva atını ortaya çıkardı. Bu Truva atı, finansal dokümanlar üzere görünen berbat maksatlı ekran kollayıcı belgeleri aracılığıyla dağıtıldı ve Mart 2025’e kadar Skype üzerinden iletildi. Akabinde öbür kanallara geçti. Kampanya boyunca BAE, Hong Kong, Ürdün ve Lübnan’daki KOBİ’ler maksat alındı.

Tehdit aktörü, 2024 yılının Temmuz ayında tanınan bir çevrimiçi tarayıcıda bir müşterinin kaynak kodunda bulunan ve GodRAT isimli yeni tanımlanmış Uzaktan Erişim Truva Atını (RAT) kullandı. GodRAT V3.5_______dll.rar adlı arşiv, hem çalıştırılabilir hem DLL yükleri oluşturabilen GodRAT oluşturucuyu da içeriyor. Bu oluşturucu, saldırganların kod enjeksiyonu için yasal süreç isimlerini seçerek (ör. svchost.exe, cmd.exe, wscript.exe) ve son belgeyi .exe, .com, .bat, .scr ve .pif üzere çeşitli formatlarda kaydederek makûs hedefli yükü gizlemelerine imkan tanıyor.

Saldırganlar, tespit edilmekten kaçınmak için finansal dataları gösteren imaj evraklarına kabuk kodu yerleştirmek için steganografi tekniğini kullandılar. Bu kabuk kodu, GodRAT makus gayeli yazılımını bir Komuta ve Denetim (C2) sunucusundan indiriyor. RAT daha sonra yapılandırma bloğunda belirtilen ilişki noktasını kullanarak C2 sunucusuna bir TCP kontağı kuruyor. İşletim sistemi detaylarını, lokal ana bilgisayar ismini, berbat gayeli yazılım süreç ismini ve süreç kimliğini, makûs maksatlı yazılım süreciyle bağlantılı kullanıcı hesabını, yüklü antivirüs yazılımını ve yakalama şoförünün varlığını topluyor.

GodRAT eklentileri de destekliyor. Bir defa yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek için FileManager eklentisini kullandılar ve kimlik bilgilerini ele geçirmek için Chrome ve Microsoft Edge’i amaç alan şifre hırsızlarını dağıttılar. GodRAT’a ek olarak, uzun müddetli erişimi sürdürmek için ikincil bir implant olarak AsyncRAT’ı da kullandılar.

Kaspersky Global Araştırma ve Tahlil Takımı Güvenlik Araştırmacısı Saurabh Sharma, hususa ait şunları söyledi: “GodRAT, Kaspersky tarafından 2023 yılında rapor edilen ve muhtemelen Winnti APT ile ilişkili olan AwesomePuppet’ın bir evrimi üzere görünüyor. Dağıtım formülleri, ender komut satırı parametreleri, Gh0st RAT ile kod benzerlikleri ve ortak kalıntıları (örneğin, ayırt edici parmak izi başlığı), ortak bir kökeni işaret ediyor. Neredeyse yirmi yıllık olmasına karşın Gh0st RAT üzere eski implant kod tabanları tehdit aktörleri tarafından faal olarak kullanılmaya devam ediyor, çoklukla çeşitli kurbanları hedeflemek için özelleştirilip yine oluşturuluyor. GodRAT’ın keşfi, bu cins uzun müddettir bilinen araçların günümüzün siber güvenlik ortamında nasıl hala geçerli olabileceğini gösteriyor.” 

Kaynak: (BYZHA) Beyaz Haber Ajansı