Kaspersky Global Araştırma ve Tahlil Grubu (GReAT), GodRAT isimli yeni bir Uzaktan Erişim Truva atını ortaya çıkardı. Bu Truva atı, finansal evraklar üzere görünen makus maksatlı ekran gözetici belgeleri aracılığıyla dağıtıldı ve Mart 2025’e kadar Skype üzerinden iletildi. Akabinde başka kanallara geçti. Kampanya boyunca BAE, Hong Kong, Ürdün ve Lübnan’daki KOBİ’ler maksat alındı.
Tehdit aktörü, 2024 yılının Temmuz ayında tanınan bir çevrimiçi tarayıcıda bir müşterinin kaynak kodunda bulunan ve GodRAT isimli yeni tanımlanmış Uzaktan Erişim Truva Atını (RAT) kullandı. GodRAT V3.5_______dll.rar adlı arşiv, hem çalıştırılabilir hem DLL yükleri oluşturabilen GodRAT oluşturucuyu da içeriyor. Bu oluşturucu, saldırganların kod enjeksiyonu için legal süreç isimlerini seçerek (ör. svchost.exe, cmd.exe, wscript.exe) ve son belgeyi .exe, .com, .bat, .scr ve .pif üzere çeşitli formatlarda kaydederek berbat hedefli yükü gizlemelerine imkan tanıyor.
Saldırganlar, tespit edilmekten kaçınmak için finansal bilgileri gösteren manzara evraklarına kabuk kodu yerleştirmek için steganografi tekniğini kullandılar. Bu kabuk kodu, GodRAT makus emelli yazılımını bir Komuta ve Denetim (C2) sunucusundan indiriyor. RAT daha sonra yapılandırma bloğunda belirtilen irtibat noktasını kullanarak C2 sunucusuna bir TCP kontağı kuruyor. İşletim sistemi detaylarını, mahallî ana bilgisayar ismini, berbat hedefli yazılım süreç ismini ve süreç kimliğini, berbat maksatlı yazılım süreciyle alakalı kullanıcı hesabını, yüklü antivirüs yazılımını ve yakalama şoförünün varlığını topluyor.
GodRAT eklentileri de destekliyor. Bir defa yüklendikten sonra saldırganlar, kurbanların sistemlerini keşfetmek için FileManager eklentisini kullandılar ve kimlik bilgilerini ele geçirmek için Chrome ve Microsoft Edge’i maksat alan şifre hırsızlarını dağıttılar. GodRAT’a ek olarak, uzun vadeli erişimi sürdürmek için ikincil bir implant olarak AsyncRAT’ı da kullandılar.
Kaspersky Global Araştırma ve Tahlil Grubu Güvenlik Araştırmacısı Saurabh Sharma, bahse ait şunları söyledi: “GodRAT, Kaspersky tarafından 2023 yılında rapor edilen ve muhtemelen Winnti APT ile irtibatlı olan AwesomePuppet’ın bir evrimi üzere görünüyor. Dağıtım metotları, az komut satırı parametreleri, Gh0st RAT ile kod benzerlikleri ve ortak kalıntıları (örneğin, ayırt edici parmak izi başlığı), ortak bir kökeni işaret ediyor. Neredeyse yirmi yıllık olmasına karşın Gh0st RAT üzere eski implant kod tabanları tehdit aktörleri tarafından faal olarak kullanılmaya devam ediyor, çoklukla çeşitli kurbanları hedeflemek için özelleştirilip yine oluşturuluyor. GodRAT’ın keşfi, bu cins uzun müddettir bilinen araçların günümüzün siber güvenlik ortamında nasıl hala geçerli olabileceğini gösteriyor.”
Kaynak: (BYZHA) Beyaz Haber Ajansı
