ABD Adalet Bakanlığı (DoJ) Cuma günü, uzaktan erişim trojanını (RAT) satmak için kullanılan çevrimiçi altyapının ele geçirildiğini duyurdu. Savaş Bölgesi RAT.
Alan adları – www.warzone[.]DoJ, ws ve diğer üçünün “siber suçlular tarafından kurbanların bilgisayarlarındaki verilere gizlice erişmek ve verileri çalmak için kullanılan bilgisayar kötü amaçlı yazılımlarını satmak için kullanıldığını” söyledi.
Kaldırma işleminin yanı sıra, uluslararası kolluk kuvvetleri Malta ve Nijerya’daki iki kişiyi, kötü amaçlı yazılımın satışına ve desteklenmesine ve diğer siber suçluların RAT’ı kötü amaçlarla kullanmasına yardım etmelerine karıştıkları için tutukladı ve hakkında dava açtı.
Sanıklar Daniel Meli (27) ve Prens Onyeoziri Odinakachi (31), korunan bilgisayarlara yetkisiz zarar vermekle suçlanırken, ilki ayrıca “yasadışı bir şekilde elektronik dinleme cihazı satmak ve reklamını yapmak ve birçok bilgisayara izinsiz giriş yapmak için bir komploya katılmakla” suçlandı. suçlar.”
Meli’nin en azından 2012’den beri çevrimiçi hack forumları, e-kitap paylaşımı ve diğer suçluların siber saldırılar gerçekleştirmek için RAT’ları kullanmalarına yardımcı olma yoluyla kötü amaçlı yazılım hizmetleri sunduğu iddia ediliyor. Warzone RAT’tan önce Pegasus RAT olarak bilinen başka bir RAT satmıştı.
Meli gibi Odinakachi de Haziran 2019 ile Mart 2023 arasında Warzone RAT kötü amaçlı yazılımını satın alan kişilere çevrimiçi müşteri desteği sağladı. Her iki kişi de 7 Şubat 2024’te tutuklandı.
Ave Maria olarak da bilinen Warzone RAT, ilk olarak Yoroi tarafından Ocak 2019’da, bilinen bir güvenlikten yararlanan sahte Microsoft Excel dosyaları içeren kimlik avı e-postaları kullanılarak petrol ve gaz sektöründeki bir İtalyan kuruluşunu 2018’in sonlarına doğru hedef alan bir siber saldırının parçası olarak belgelendi. Denklem Düzenleyicisi’ndeki kusur (CVE-2017-11882).
Hizmet olarak kötü amaçlı yazılım (Maas) modeli altında ayda 38 ABD dolarına (veya yıllık 196 ABD dolarına) satılan bu yazılım, bilgi hırsızı olarak işlev görür ve uzaktan kontrolü kolaylaştırır, böylece tehdit aktörlerinin virüs bulaşmış ana bilgisayarları takip etmek üzere ele geçirmesine olanak tanır. sömürü.
Kötü amaçlı yazılımın dikkate değer özelliklerinden bazıları arasında kurbanın dosya sistemlerine göz atma, ekran görüntüleri alma, tuş vuruşlarını kaydetme, kurbanın kullanıcı adlarını ve şifrelerini çalma ve kurbanın bilgisi veya izni olmadan bilgisayarın web kameralarını etkinleştirme yeteneği yer alıyor.
“Ave Maria saldırıları kimlik avı e-postaları aracılığıyla başlatılıyor; düşen veri, kurbanın makinesine kötü amaçlı yazılım bulaştırdığında, RC4 kullanarak C2 bağlantısının şifresini çözdükten sonra, saldırganın HTTP dışı protokol üzerindeki komuta ve kontrol (C2) sunucusuyla iletişim kuruyor. algoritma,” dedi Zscaler ThreatLabz 2023’ün başlarında.
Artık kapatılmış olan web sitelerinden birinde, “2018’den bu yana size sadık bir şekilde hizmet veriyoruz” sloganı taşıyan C/C++ kötü amaçlı yazılım geliştiricileri, bunun güvenilir ve kullanımı kolay olduğunu tanımladı. Ayrıca müşterilerin kendileriyle e-posta (solmyr@warzone) yoluyla iletişim kurma olanağını da sağladılar.[.]ws), Telegram (@solwz ve @sammysamwarzone), Skype (vuln.hf) ve ayrıca özel bir “istemci alanı” aracılığıyla.
Ek bir iletişim yolu da kullanıcılardan Meli#4472 kimlikli bir hesapla iletişime geçmelerinin istendiği Discord’du. Meli’ye bağlı bir diğer Telegram hesabı ise @daniel96420 idi.
Kötü amaçlı yazılım, siber suç gruplarının dışında, geçtiğimiz yıl YoroTrooper gibi birçok gelişmiş tehdit aktörünün yanı sıra Rusya ile bağlantılı kişiler tarafından da kullanıldı.
Adalet Bakanlığı, ABD Federal Soruşturma Bürosu’nun (FBI) gizlice Warzone RAT kopyalarını satın aldığını ve onun kötü işlevlerini doğruladığını söyledi. Koordineli tatbikat Avustralya, Kanada, Hırvatistan, Finlandiya, Almanya, Japonya, Malta, Hollanda, Nijerya, Romanya ve Europol’deki yetkililerin yardımını içeriyordu.