Kaspersky Global Araştırma ve Tahlil Grubu (GReAT), GodRAT isimli yeni bir Uzaktan Erişim Truva atını ortaya çıkardı. Bu Truva atı, finansal evraklar üzere görünen makus maksatlı ekran hami belgeleri aracılığıyla dağıtıldı ve Mart 2025’e kadar Skype üzerinden iletildi. Akabinde öteki kanallara geçti. Kampanya boyunca BAE, Hong Kong, Ürdün ve Lübnan’daki KOBİ’ler gaye alındı.
Tehdit aktörü, 2024 yılının Temmuz ayında tanınan bir çevrimiçi tarayıcıda bir müşterinin kaynak kodunda bulunan ve GodRAT isimli yeni tanımlanmış Uzaktan Erişim Truva Atını (RAT) kullandı. GodRAT V3.5_______dll.rar adlı arşiv, hem çalıştırılabilir hem DLL yükleri oluşturabilen GodRAT oluşturucuyu da içeriyor. Bu oluşturucu, saldırganların kod enjeksiyonu için legal süreç isimlerini seçerek (ör. svchost.exe, cmd.exe, wscript.exe) ve son belgeyi .exe, .com, .bat, .scr ve .pif üzere çeşitli formatlarda kaydederek berbat emelli yükü gizlemelerine imkan tanıyor.
Saldırganlar, tespit edilmekten kaçınmak için finansal bilgileri gösteren manzara belgelerine kabuk kodu yerleştirmek için steganografi tekniğini kullandılar. Bu kabuk kodu, GodRAT makus maksatlı yazılımını bir Komuta ve Denetim (C2) sunucusundan indiriyor. RAT daha sonra yapılandırma bloğunda belirtilen ilişki noktasını kullanarak C2 sunucusuna bir TCP ilişkisi kuruyor. İşletim sistemi detaylarını, mahallî ana bilgisayar ismini, berbat gayeli yazılım süreç ismini ve süreç kimliğini, makûs hedefli yazılım süreciyle bağlantılı kullanıcı hesabını, yüklü antivirüs yazılımını ve yakalama şoförünün varlığını topluyor.
GodRAT eklentileri de destekliyor. Bir kere yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek için FileManager eklentisini kullandılar ve kimlik bilgilerini ele geçirmek için Chrome ve Microsoft Edge’i maksat alan şifre hırsızlarını dağıttılar. GodRAT’a ek olarak, uzun müddetli erişimi sürdürmek için ikincil bir implant olarak AsyncRAT’ı da kullandılar.
Kaspersky Global Araştırma ve Tahlil Grubu Güvenlik Araştırmacısı Saurabh Sharma, bahse ait şunları söyledi: “GodRAT, Kaspersky tarafından 2023 yılında rapor edilen ve muhtemelen Winnti APT ile ilişkili olan AwesomePuppet’ın bir evrimi üzere görünüyor. Dağıtım metotları, az komut satırı parametreleri, Gh0st RAT ile kod benzerlikleri ve ortak kalıntıları (örneğin, ayırt edici parmak izi başlığı), ortak bir kökeni işaret ediyor. Neredeyse yirmi yıllık olmasına karşın Gh0st RAT üzere eski implant kod tabanları tehdit aktörleri tarafından etkin olarak kullanılmaya devam ediyor, ekseriyetle çeşitli kurbanları hedeflemek için özelleştirilip tekrar oluşturuluyor. GodRAT’ın keşfi, bu çeşit uzun müddettir bilinen araçların günümüzün siber güvenlik ortamında nasıl hala geçerli olabileceğini gösteriyor.”
Daha fazla bilgi Securelist.com adresindeki raporda yer alıyor.
Güvenliğinizi sağlamak için Kaspersky şunları öneriyor:
- İşletim sisteminizi, tarayıcınızı, antivirüsünüzü ve öbür programlarınızı tertipli olarak güncelleyin. Hatalılar, sistemleri tehlikeye atmak için yazılımdaki güvenlik açıklarını kullanma eğilimindedir.
- Şirketinizi bu tıp tehditlere karşı korumak için, her büyüklükteki ve daldaki kuruluşlar için EDR ve XDR’nin gerçek vakitli muhafaza, tehdit görünürlüğü, araştırma ve karşılık yeteneklerini sunabilen Kaspersky Next ürün serisindeki tahlilleri kullanın.
- Windows ayarlarında “Dosya uzantılarını göster” seçeneğini aktifleştirebilirsiniz. Bu, potansiyel olarak ziyanlı evrakları ayırt etmeyi çok daha kolay hale getirecektir. Truva atları çalıştırılabilir programlar olduğundan, “exe”, “vbs” ve “scr” üzere evrak uzantılarından uzak durma konusunda dikkatli olun. Tanıdık birçok evrak çeşidi de tehlikeli olabileceğinden, bu hususta dikkatli olmanız gerekir. Dolandırıcılar, berbat emelli bir belgeyi görüntü, fotoğraf yahut doküman üzere göstermek için çeşitli uzantılar kullanabilir (örneğin hot-chics.avi.exe yahut doc.scr).
