BT güvenlik ve uygunluk firması Qualys’teki araştırmacılar, Kolombiya’daki bir kooperatif bankasının altyapısının kaçırıldığını belirlediklerinde BitRAT için “birden çok yemi” araştırıyorlardı. 3 Ocak’ta yayınlanan bir blog gönderisinde, saldırganların bu uzlaşmadan elde edilen hassas verileri kurbanları yakalamaya çalışmak için kullandıkları bildirildi.
Qualys tehdit araştırması kıdemli mühendisi Akshat Pradhan gönderisinde, “Altyapıyı daha derine inerken, gerçek veritabanı dökümleriyle birlikte potansiyel SQLi hatalarını bulmak için sqlmap aracının kullanımına işaret eden günlükler belirledik.”
Genel olarak, tehdit aktörleri, “Cedula” numaraları olarak adlandırılan Kolombiya ulusal kimlik numaraları gibi ayrıntıların yanı sıra e-posta adresleri, telefon numaraları, müşteri adları, ödeme kayıtları, maaş, ev gibi ayrıntılar da dahil olmak üzere bankanın müşterilerinden 4.18.777 satırlık hassas veriyi sızdırdı. araştırmacılar, adresler ve diğer veriler dedi.
Araştırmacılar, şimdiye kadar herhangi bir hacker forumunda veya Dark Web sitesinde veri dökümü görmediklerini ve daha fazla araştırma yaparken standart ihlal açıklama yönergelerini izlediklerini söylediler.
Uzun Kuyruklu Ticari Bir RAT
Tehdit aktörleri, Şubat 2021’den itibaren yeraltı siber suç pazarlarında BitRAT’ı pazarlamaya başladı. Araştırmacılar, RAT’ın sosyal medyadaki varlığı ve nispeten düşük fiyatı olan 20 ABD Doları ile kötü bir şöhrete sahip olduğunu ve bunun da onu siber suçlular arasında popüler kıldığını söyledi.BitRAT’ın temel yetenekleri şunları içerir: veri hırsızlığı, atlamalı yüklerin yürütülmesi, dağıtılmış hizmet reddi (DDoS), keylogging, web kamerası ve mikrofon kaydı, kimlik bilgisi hırsızlığı, Monero madenciliği ve diğerlerinin yanı sıra işlem, dosya ve yazılım için çalıştırma görevleri.
Pradhan, BitRAT’ın ticari RAT kullanımının yalnızca yayılma için yeni yeteneklerle değil, aynı zamanda kötü amaçlı yükleri barındırmak için yasal altyapıların kullanımından yararlanarak nasıl geliştiğinin bir örneği olduğunu söyledi. Bu, işletmelerin artık kendi güvenlik savunma duruşlarında hesaba katmaları gereken bir şey, dedi.
Araştırmacılar, bu amaçla, tüm kuruluşların BitRAT gibi kötü amaçlı yazılımları bir ağ uç noktasına girerken tespit etmek için uç nokta algılama ve yanıt (EDR) çözümleri kullanmasını tavsiye etti. Bir sistem genelinde varlık yönetimi, güvenlik açığı tespiti, politika uyumluluğu, yama yönetimi ve dosya bütünlüğü izleme yetenekleri gibi işlevlerin, bunun gibi kötü amaçlı yazılımlarla mücadelede anahtar olduğunu eklediler.
Araştırmacılar ayrıca, kuruluşların gelişen tehditlere karşı koymak için dahili ve internete dönük varlıklar dahil olmak üzere tüm kurumsal saldırı yüzeyinin sürekli olarak izlenmesine ve azaltılmasına ve daha önce tanımlanamayan risklerin keşfedilmesine olanak tanıyan harici saldırı yüzeyi yönetimi çözümleri uygulamalıdır.
BitRAT’ın Anatomisi
Araştırmacılar, bir BitRAT kampanyası için yem olarak kullanılan ve tümü “Yönetici” tarafından yazılan Excel sayfalarının bir önbelleğini bulup analiz ettiler ve tablolardan alınan verilerin Excel maldoc’larında yeniden kullanıldığını ve veritabanı dökümüne dahil edildiğini söylediler.
Pradhan, gönderisinde “Excel, bir .inf yükünü bırakacak ve onu çalıştıracak, oldukça karmaşık bir makro içeriyor” diye yazdı. “.inf yükü, makroda yüzlerce diziye bölünmüştür.”
Gizlemeyi kaldırma rutini, yürütmeye hazır olduğunda yükü yeniden oluşturmak için diziler üzerinde aritmetik işlemler gerçekleştirir; makro, ardından yükü “temp” olarak yazar ve advpack.dll adlı bir dosya aracılığıyla yürütür, dedi.
Araştırmacılar, makronun kendisinin de certutil aracılığıyla kodu çözülen, “%temp%\” konumuna yazılan ve “rundll32” komutuyla yürütülen onaltılık kodlu, ikinci aşama bir .dll yükü içerdiğini buldu. Bu işlem yapıldıktan sonra geçici dosyalar siliniyor dediler.
Son BitRAT yükünü indirmek ve yürütmek için çeşitli hata ayıklama önleme teknikleri kullanan bu .dll dosyasıdır. Pradhan, dosyanın ayrıca Kasım ayı ortasında bir “tek kullanımlık” hesap tarafından oluşturulan bir GitHub deposundan BitRAT gömülü yükleri “%temp%” dizinine indirmek için WinHTTP kitaplığını kullandığını yazdı.
BitRAT yürütmesinin son aşamasında, .dll dosyası “%temp%” yükünü başlatmak için WinExec’i kullanır ve çıkar. Araştırmacılar, bir kullanıcının makinesinde kalıcılığı sürdürmek için, BitRAT örneğinin başladığını ve ardından yükleyiciyi kullanıcının başlatmasına yeniden yerleştirdiğini söyledi.