0

BEĞENDİM

ABONE OL

News

0

GodRAT Adlı Yeni Nesil Tehdit Ortaya Çıkarıldı

Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), finans kurumlarını ve KOBİ’leri hedef alan sofistike bir siber saldırı kampanyasını ortaya çıkardı. “GodRAT” adı verilen yeni bir Uzaktan Erişim Truva Atı (RAT), ilk olarak Mart 2025’e kadar Skype Messenger platformu üzerinden yayıldı. Saldırganlar, kötü amaçlı yazılımı, finansal belgeler gibi görünen sahte ekran koruyucu (.scr) dosyalarının içine gizleyerek dağıttı. Kampanyanın hedefinde başta Birleşik Arap Emirlikleri, Hong Kong, Ürdün ve Lübnan’daki küçük ve orta ölçekli işletmeler bulunuyor.

Zararlı Yazılımın Teknik Analizi ve Çalışma Mekanizması

Tehdit aktörleri, Temmuz 2024’te popüler bir çevrimiçi tarayıcının müşteri kaynak kodundan faydalandı. `GodRAT V3.5_dll.rar` isimli bir arşiv dosyası, hem çalıştırılabilir (.exe) hem de DLL dosyaları oluşturabilen bir GodRAT oluşturucu içeriyor. Bu araç, saldırganlara meşru işlem isimlerini (svchost.exe, cmd.exe gibi) taklit ederek ve dosyayı .exe, .com, .bat, .scr ve .pif gibi çeşitli formatlarda kaydederek kötü amaçlı yükü gizleme olanağı sağlıyor. Tespitten kaçınmak için son derece ileri bir yöntem kullanıldı: steganografi. Finansal veriler içeren görüntü dosyalarının içine kabuk kodu yerleştirildi. Bu kod, daha sonra bir Komuta ve Kontrol (C2) sunucusundan GodRAT’ın ana yükünü indiriyor. Truva atı, sisteme sızdıktan sonra yapılandırma bloğunda belirtilen bağlantı noktasını kullanarak C2 sunucusuna bir TCP bağlantısı kuruyor. Ardından, işletim sistemi bilgileri, ana bilgisayar adı, çalışan işlemler, kullanıcı hesabı, yüklü antivirüs yazılımı ve hatta yakalama sürücüsünün varlığı gibi kritik verileri toplamaya başlıyor.

Eklenti Desteği ve İkincil Tehdit: AsyncRAT

GodRAT’ın en dikkat çekici özelliklerinden biri de eklenti desteği sunması. Saldırganlar, kurbanın sistemine sızdıktan sonra FileManager eklentisini kullanarak dosya sisteminde keşif yapabildiler. Ayrıca, Chrome ve Microsoft Edge tarayıcılarından şifre çalmak için özelleştirilmiş şifre hırsızı modüllerini dağıttılar. Uzun vadeli erişimi garanti altına almak için ise ikincil bir implant olarak, bilinen bir tehdit olan AsyncRAT’ı kullandılar. Bu çok katmanlı yaklaşım, saldırganların sistemde kalıcılık sağlamasını ve daha fazla zararlı aktivite yürütmesini mümkün kıldı.

Uzman Görüşü: Eski Kodların Modern Tehditlere Dönüşümü

Kaspersky Güvenlik Araştırmacısı Saurabh Sharma, GodRAT’ın 2023’te rapor edilen ve Winnti APT grubuyla muhtemel bağlantıları olan AwesomePuppet’ın bir evrimi olduğunu belirtti. Sharma, “Dağıtım yöntemleri, nadir komut satırı parametreleri, Gh0st RAT ile olan kod benzerlikleri ve ortak kalıntılar, bu araçların ortak bir kökene sahip olduğuna işaret ediyor” dedi. Gh0st RAT gibi neredeyse yirmi yıllık eski implant kod tabanlarının, tehdit aktörleri tarafından aktif olarak özelleştirilip yeniden olu