“Karmaşık biçimde tasarlanmış” bir uzaktan erişim truva atı (RAT) adı verilen Xeno RAT GitHub’da kullanıma sunuldu ve diğer aktörlerin hiçbir ekstra ücret ödemeden kullanımına sunuldu.
C# ile yazılmış ve Windows 10 ve Windows 11 işletim sistemleriyle uyumlu olan açık kaynaklı RAT, moom825 adını kullanan geliştiricisine göre “uzaktan sistem yönetimi için kapsamlı bir dizi özellik” ile birlikte geliyor.
Bir SOCKS5 ters proxy ve gerçek zamanlı ses kaydetme yeteneğinin yanı sıra, saldırganların virüs bulaşmış bir bilgisayara uzaktan erişmesine olanak tanıyan DarkVNC çizgileri boyunca gizli bir sanal ağ bilgi işlem (hVNC) modülü içerir.
Geliştirici, proje açıklamasında “Xeno RAT tamamen sıfırdan geliştirildi ve uzaktan erişim araçlarına benzersiz ve özel bir yaklaşım sağladı” diyor. Dikkate değer bir başka husus da, kötü amaçlı yazılımın özel varyantlarının oluşturulmasına olanak tanıyan bir oluşturucuya sahip olmasıdır.
Moom825’in aynı zamanda ReversingLabs tarafından Ekim 2023’te açıklandığı gibi, node-hide-console-windows adlı kötü amaçlı bir npm paketi içindeki tehdit aktörleri tarafından dağıtılan DiscordRAT 2.0 adlı başka bir C# tabanlı RAT’ın da geliştiricisi olduğunu belirtmekte fayda var.
Siber güvenlik firması Cyfirma, geçen hafta yayınlanan bir raporda, Xeno RAT’ın Discord içerik dağıtım ağı (CDN) aracılığıyla yayıldığını gözlemlediğini belirterek, uygun fiyatlı ve ücretsiz olarak bulunabilen kötü amaçlı yazılımlardaki artışın, RAT kullanan kampanyalarda nasıl bir artışa yol açtığının bir kez daha altını çizdi.
Şirket, “WhatsApp ekran görüntüsü olarak gizlenen kısayol dosyası şeklindeki birincil vektör, indirici görevi görüyor” dedi. “İndirici, ZIP arşivini Discord CDN’den indirir, çıkarır ve bir sonraki aşamadaki yükü çalıştırır.”
Çok aşamalı dizi, kötü amaçlı bir DLL başlatmak için DLL yandan yükleme adı verilen bir teknikten yararlanırken aynı zamanda kalıcılığı sağlamak ve analiz ve tespitten kaçınmak için adımlar atar.
Bu gelişme, AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), Linux sistemlerini hedef alan saldırılarda kullanılan ve rakiplerin hassas bilgileri toplamasına olanak tanıyan Nood RAT adlı bir Gh0st RAT varyantının kullanıldığını ortaya çıkarmasıyla ortaya çıktı.
ASEC, “Nood RAT, kötü amaçlı dosyaları indirmek, sistemlerin dahili dosyalarını çalmak ve komutları yürütmek gibi kötü amaçlı etkinlikleri gerçekleştirmek için C&C sunucusundan komutlar alabilen bir arka kapı kötü amaçlı yazılımıdır” dedi.
“Biçimi basit olmasına rağmen, ağ paketi tespitini önlemek için şifreleme özelliği ile donatılmıştır ve birden fazla kötü amaçlı aktivite gerçekleştirmek için tehdit aktörlerinden komutlar alabilir.”