Kötü şöhretli Uzaktan Yönetim Aracı (RAT) kötü amaçlı yazılımı WarzoneRAT, FBI'ın bu yılın başlarında operasyonlarını durdurma çabalarına rağmen geri dönüş yaptı.
Altyapısını ele geçirip siber suç planının arkasındaki kilit kişileri tutukladıktan sonra FBI, WarzoneRAT kötü amaçlı yazılım operasyonunu engellediklerine inanıyordu.
Ancak Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) tarafından yapılan son gözlemler aksini gösteriyor; Avemaria olarak da bilinen WarzoneRAT'ın yeni örnekleri vahşi doğada tespit edildi.
WarzoneRAT Dark Web Dünyasına Yeniden Katılıyor
Cyble Research & Intelligence Labs'a (CRIL) göre, WarzoneRAT faaliyetinin en son dalgası vergi temalı spam e-postalarla bağlantılı görünüyor ve şüphelenmeyen kurbanları kurnazca gizlenmiş eklerle istismar ediyor.
Bir örnekte, saldırı zinciri, PNG görüntüsü olarak gizlenen kötü amaçlı bir LNK dosyasını gizleyen sıkıştırılmış bir ekle başlar. Bu LNK dosyası yürütüldüğünde bir dizi PowerShell komutunu tetikler ve sonuçta VBScript ve Reflective yükleme tekniklerini içeren çok aşamalı bir süreç aracılığıyla WarzoneRAT'ın konuşlandırılmasına yol açar.
Kampanyada gözlemlenen bir diğer yöntem ise meşru bir EXE, kötü amaçlı bir DLL ve bir PDF belgesi dahil olmak üzere zararsız görünen dosyalar içeren bir ZIP arşivinin kullanılmasıdır. Meşru EXE'nin yürütülmesi üzerine kötü amaçlı yazılım, kötü amaçlı DLL'yi yüklemek için DLL yan yüklemesini kullanır ve böylece WarzoneRAT bulaşma sürecini başlatır.
WarzoneRAT AKA Avemaria Gizlilikten Yararlanma
Bu saldırıların karmaşıklığı, gizleme tekniklerini, saldırı taktiklerini ve kötü amaçlı yazılımı RegSvcs.exe gibi meşru süreçlere enjekte etmek için yansıtıcı montaj yüklemesinin kullanımını içeren çok yönlü yaklaşımlarında yatmaktadır. WarzoneRAT'ın arkasındaki saldırganlar, çalışma zamanı sırasında yükleri dinamik olarak yükleyerek ve tespit mekanizmalarından kaçarak, siber güvenlik açıklarına dair keskin bir anlayışa sahip olduklarını ortaya koyuyor.
Ayrıca, dağıtım mekanizması olarak vergi temalı spam e-postaların seçilmesi, saldırganların kullanıcıların güvenini ve beklentilerini istismar etme çabalarını öne çıkarıyor. Tehdit aktörleri, vergiyle ilgili belgeler gibi tanıdık temalardan yararlanarak başarılı virüs bulaşma olasılığını artırır ve böylece kötü amaçlı kampanyalarının etkisini en üst düzeye çıkarır.
FBI'ın daha önceki müdahalesine rağmen WarzoneRAT, taktiklerini ve tekniklerini tespit edilmekten kaçınmak ve kötü niyetli faaliyetlerine devam etmek için uyarlayarak kararlılığını kanıtladı. Tehdit aktörleri, gizleme teknikleri, kaçınma taktikleri ve temalı sosyal mühendisliğin bir kombinasyonunu kullanarak, saldırılarının etkinliğini en üst düzeye çıkarmayı hedeflerken, savunucuların bunları tespit etme ve hafifletme çabalarını karmaşıklaştırır.
WarzoneRAT'ın Yükselişi ve Düşüşü
Warzone RAT, ilk olarak Ocak 2019'da zorlu bir uzaktan erişim truva atı (RAT) olarak ortaya çıktı ve 2020 yılına gelindiğinde hızla en iyi kötü amaçlı yazılım türü olarak ün kazandı. Meşru bir ticari BT yönetim aracı kisvesi altında faaliyet gösteren bu yazılım, kötü amaçlı yazılım olarak satıldı. -service (MaaS), Solmyr adlı çevrimiçi bir kişi tarafından aylık 37,95 dolardan başlayan uygun fiyatlı planlar sunuyor.
Warzone RAT, kötü niyetli niyet barındırır ve gelişmiş gizlilik ve anti-analiz yetenekleriyle güçlü bir bilgi hırsızı olarak hizmet eder. Ancak 9 Şubat 2024'te, Europol ve Ortak Siber Suç Eylem Görev Gücü'nün (J-CAT) desteğiyle FBI liderliğindeki uluslararası çabanın bir parçası olarak Warzone RAT ve operatörlerini hedef alan önemli bir operasyon gerçekleşti.
Operasyon, Warzone RAT kötü amaçlı yazılımını sattığı bilinen http://www.warzone.ws dahil olmak üzere internet alan adlarının ele geçirilmesiyle sonuçlandı. Bu hareket, kurbanların sistemlerine yetkisiz erişim, tuş vuruşu kaydı, ekran görüntüsü yakalama ve yetkisiz web kamerası erişimi dahil olmak üzere RAT tarafından kolaylaştırılan siber suç faaliyetlerini engellemeyi amaçlıyordu.
Bu baskı aynı zamanda 7 Şubat 2024'te Malta ve Nijerya'da kötü amaçlı yazılım satmak ve siber suçlulara kötü niyetli çabalarına yardım etmekle suçlanan iki şüphelinin tutuklanmasına da yol açtı. Bu müdahalelere rağmen, Warzone RAT'ın crackli versiyonları, karanlık ağ forumlarında dolaşmaya devam ediyor ve bu versiyonlar, dağıtımını ve komuta-kontrol (C2) yönetimini kolaylaştıran öğretici videolarla destekleniyor.
Warzone RAT, Hindistan Ulusal Bilişim Merkezi (NIC) gibi jeopolitik varlıkları hedef alan ve Konfüçyüs APT grubu tarafından Çin ana karasındaki ve Güney Asya ülkelerindeki devlet kurumlarına karşı kullanılan çok sayıda tehdit aktörünün kampanyalarına dahil edildi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.