Babylon RAT Malezya Hükümeti ve Politikacılarını Hedef Almak İçin Kullanıldı

   Eylül 4, 2024  Posted in ThecyberExpress


Tehdit aktörleri, Babylon RAT’ı iletmek için kötü amaçlı ISO dosyalarından yararlanarak Malezya’daki üst düzey kişilere ve hükümet yetkililerine yönelik hedefli bir kampanya başlattı.

Cyble Research and Intelligence Lab (CRIL) tarafından yakın zamanda yapılan bir araştırma, Malezya’daki siyasi figürleri ve hükümet yetkililerini hedef alan hedefli bir siber saldırı kampanyasını ortaya çıkardı. Temmuz ayından beri aktif olan saldırı, yüksek profilli kişileri ve kurumları tehlikeye atmak için tasarlanmış kötü amaçlı ISO dosyaları kullanıyor.

Kısayol dosyası, gizli bir PowerShell betiği, kötü amaçlı bir yürütülebilir dosya ve sahte bir PDF dosyası gibi birden fazla bileşen içeren kötü amaçlı ISO dosyaları, kullanıcıları meşru dosyalarla etkileşimde bulunduklarını düşünmeye kandırmak için tasarlanmıştır. ISO dosyaları açıldığında, gözetim ve veri hırsızlığı yetenekleriyle bilinen güçlü bir uzaktan erişim Truva Atı (RAT) olan Babylon RAT’ı ileten bir olaylar zinciri yürütür.

Cyble Vision platformundan elde edilen istihbarat, bu saldırının arkasındaki tehdit aktörünün daha önce Malezyalı kuruluşları, bir diğer açık kaynaklı RAT olan Quasar RAT’ı kullanarak hedef aldığını gösteriyor. Bu da ülkedeki üst düzey kişileri ve kurumları hedef alma eğiliminde olduğunu gösteriyor.

Babylon RAT Harekatı’nın Teknik Analizi

Kampanya, her biri belirli bir kitleye hitap etmek üzere tasarlanmış bir cazibe belgesi içeren, Malezyalı varlıkları hedef alan en az üç ayrı kötü amaçlı ISO dosyası kullandı. Cazip belgeler, Malezya’daki siyasi endişeler ve Malezyalı bir hükümet kurumu olan Majlis Amanah Rakyat (MARA) gibi konuları içeriyor.

Babylon RAT Enfeksiyon Zinciri, Babylon RAT, RAT, Uzaktan Erişim Truva Atı, Malezya, Malezyalı PolitikacılarBabylon RAT Enfeksiyon Zinciri, Babylon RAT, RAT, Uzaktan Erişim Truva Atı, Malezya, Malezyalı Politikacılar
Babylon RAT Kampanyasının Enfeksiyon Zinciri. (Kaynak: Cyble Research and Intelligence Labs – CRIL

Kötü amaçlı ISO dosyasını açtıktan sonra, arka planda bir PowerShell betiği yürütülür ve ardından bir sahte PDF dosyası başlatır ve kötü amaçlı yürütülebilir dosyayı %appdata% dizinine kopyalar. Betik ayrıca yürütülebilir dosyanın sistem başlangıcında çalışmasını sağlamak için bir kayıt defteri girişi oluşturur ve ardından kötü amaçlı dosyayı yürütür.

Son yük olan Babylon RAT, tehdit aktörüne kurbanın makinesi üzerinde kapsamlı bir kontrol sağlayarak tuş vuruşlarını yakalamalarına, panoyu izlemelerine, parolaları çıkarmalarına ve uzaktan komutlar yürütmelerine olanak tanır. RAT ayrıca enfekte olmuş sistemlerde kalıcılığı koruyarak yeniden başlatmadan sonra bile operasyonlarına devam edebilmesini sağlar.

Babylon RAT Hakkında

Babylon, enfekte olmuş makineler üzerinde uzaktan erişim ve kontrol sağlamak için tasarlanmış bir Uzaktan Erişim Truva Atı’dır. Sistem bilgilerini toplama, DDoS saldırıları başlatma, kimlik bilgilerini çalma ve daha fazlasını içeren çok işlevli yetenekleri nedeniyle yüksek riskli bir tehdittir. İlk olarak 2015 civarında karanlık web forumlarında ortaya çıkan RAT, yıllar içinde birden fazla sektörü hedef alan çeşitli kimlik avı kampanyalarında kullanıldı. Cyble araştırmacıları, son kampanyada kullanılan ilk enfeksiyon vektörünün belirsizliğini koruduğunu söyledi.

Babylon RAT’ın Temel Özellikleri ve Yetenekleri

  • Uzaktan Erişim ve Kontrol: Tehdit aktörlerinin enfekte cihazlarla gerçek zamanlı etkileşim kurmasını sağlar.
  • Bilgi Toplama: Donanım ayrıntılarını, işletim sistemi sürümünü, cihaz adını, kullanıcı adını, IP adresini ve daha fazlasını toplar.
  • Anti-algılama: Güvenlik araçları tarafından tespit edilmekten kaçınma yeteneğine sahiptir.
  • Kendi kendine yayılan: Yerel ağlar üzerinden yayılabilir.
  • DDoS Saldırıları: Hizmetleri kesintiye uğratmak için Dağıtılmış Hizmet Reddi saldırıları başlatabilir.
  • Kimlik Hırsızlığı: Tarayıcılar da dahil olmak üzere çeşitli yüklü uygulamalardan kullanıcı adlarını ve parolaları çıkarır.
  • Proxy Kullanımı:Ana bilgisayarı, ağ güvenlik önlemlerini atlatarak birden fazla virüslü ana bilgisayardan gelen ağ trafiğini yakalamak için bir SOCKS proxy’si gibi davranmaya zorlayabilir.

Malezya’daki siyasi figürleri ve hükümet yetkililerini hedef alan karmaşık siber saldırı, üst düzey kişiler ve kurumlar için bir uyarı niteliğindedir. Babylon RAT’ın kullanımı, bu tehdit aktörlerinin gelişmiş yeteneklerini ve hassas bilgilere yetkisiz erişim sağlama yeteneklerini göstermektedir.

Öneriler

Cyble araştırmacıları gelecekte bu tür saldırıların yaşanmaması için şu önlemleri öneriyor:

  • Gelişmiş e-posta filtreleme çözümlerini uygulayın ISO dosyaları gibi kötü amaçlı ekleri tespit etmek ve engellemek için.
  • Uç nokta güvenlik çözümlerini dağıtın ve düzenli olarak güncelleyin Babylon RAT gibi tehditleri tespit etmek ve azaltmak için.
  • Sürekli ağ izleme ve anormallik tespiti uygulayın olağandışı faaliyetleri tespit etmek ve bunlara yanıt vermek.
  • Kapsamlı güvenlik farkındalığı eğitimi düzenleyin Siyasi figürlerin ve hükümet yetkililerinin kimlik avı girişimlerini ve kötü amaçlı dosyaları tanıması ve bunlardan kaçınması için.
  • Tüm sistemlerin ve yazılımların güncel tutulmasını sağlayın Tehdit aktörleri tarafından istismar edilebilecek güvenlik açıklarını azaltmak için en son güvenlik yamalarıyla birlikte.



Source link