Kritik Altyapı Güvenliği, Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Uzaktan Erişim Truva Atı ‘Poco RAT’ Madencilik ve Üretim Sektörlerini Hedefliyor, Raporda Söyleniyor
Chris Riotta (@chrisriotta) •
10 Temmuz 2024
Araştırmacılar, kimlik avı tehdit yönetimi firması Cofense Intelligence’ın Çarşamba günü yayınladığı rapora göre, Latin Amerika’daki madencilik ve imalat sektörlerinde çalışan İspanyolca konuşan kurbanları hedef alan “Poco RAT” adlı yeni bir kötü amaçlı yazılım tespit etti.
Ayrıca bakınız: Panel Tartışması | MITRE ATT&CK Çerçevesi: Saldırganınızın Gözünden Görmek
Cofense’in siber tehdit istihbarat yöneticisi Max Gannon, Information Security Media Group’a basit uzaktan erişim Truva atının madencilik, imalat, konaklama ve kamu hizmetleri sektörlerindeki kurbanları etkilediğini söyledi. Rapora göre kötü amaçlı yazılım, kurbanlarını genellikle finansal temalar ve Google Drive’da depolanan yürütülebilir dosyaları içeren zip arşivlerine gömülü bağlantılar içeren bir e-posta kampanyası aracılığıyla hedef alıyor.
Gannon, “Bu kampanya, basit ve eğitimli çalışanlar için açıkça kötü amaçlı olmasına rağmen birden fazla güvenli e-posta ağ geçidini atlattı,” dedi. Birçok güvenli e-posta ağ geçidinin, popüler dosya barındırma hizmetlerinde barındırılan kötü amaçlı dosyalara “ek türleri ve gömülü URL’lerin kombinasyonları kullanılarak” kolayca atlatılabileceğini ekledi.
Poco RAT, C++’da ağ merkezli taşınabilir uygulamaların geliştirilmesini basitleştiren bir grup açık kaynaklı C++ sınıf kütüphanesi olan POCO C++ Kütüphanesini kullandığı için bu ismi almıştır. Raporda, kötü amaçlı yazılımın dosya işlemlerini yönetmek ve kontrol etmek için sistemin komuta merkeziyle iletişimi sürdürürken tespit edilmekten kaçınmak için tasarlanmış özel kod içerdiği ve kimlik bilgisi toplamada ikincil bir rol oynadığı belirtilmektedir.
Hedeflerin hepsi birkaç İspanyolca konuşulan ülkede şubeleri olan büyük şirketlerdi ve bilgisayar korsanları kötü amaçlı yazılımların çoğunluğunu (%53) gömülü URL’ler aracılığıyla gönderdi. Doğrudan HTML bağlantıları, zip arşivlerinin genel teslimat yönteminin %40’ını oluşturuyordu. PDF’ler kalan %7’yi oluşturuyordu.
Rapora göre Poco RAT, fidye yazılımı ve veri toplama kampanyaları için daha özel kodlamalar içeren ek kötü amaçlı yazılımlar içerebilecek dosyaları teslim edip indirebiliyor. İlk kötü amaçlı yazılım kampanyası ilk olarak Şubat ayının başlarında tespit edildi. Başlangıçta madencilik sektörünü hedef aldı ve sonunda yılın ikinci çeyreği boyunca dört büyük sektöre – kamu hizmetleri, konaklama, imalat ve madencilik – yayıldı.
Raporda, tehdit aktörlerinin yıllar boyunca kurban ağlarına erişmek için Google Drive gibi meşru dosya barındırma hizmetlerini kullandığı belirtiliyor; tıpkı Poco RAT’ın devam eden kampanyası boyunca yaptığı gibi. Cofense’e göre, kötü amaçlı yazılım, bir yürütülebilir dosya olarak teslim ediliyor .exe dosya uzantısına sahiptir ve rastgele şirket adları ve sürüm numaraları ve ticari markalar gibi diğer ayrıntıları içeren meta veriler içerir.
Gannon, yeni tespit edilen kötü amaçlı yazılımın çok çeşitli sektörleri hedef almadaki başarısının, sektörlerdeki çalışanlar için farkındalık ve güvenlik eğitiminin önemini vurguladığını söyledi.
“Eğitimli bir çalışan e-postalara kanıp dosyayı indirse bile, eğitimle edindiği dikkat, iddia edilen PDF yerine alışılmadık ve şüpheli bir arşivin indirildiğini fark etmesini sağlayacaktır” dedi.