Çin bağlantılı bir tehdit aktörü APT17 9002 RAT olarak bilinen bir zararlı yazılımın bir çeşidi kullanılarak İtalyan şirketlerini ve hükümet kuruluşlarını hedef aldığı gözlemlendi.
İtalyan siber güvenlik şirketi TG Soft, geçen hafta yayınladığı analizde, iki hedefli saldırının 24 Haziran ve 2 Temmuz 2024 tarihlerinde gerçekleştiğini belirtti.
Şirket, “24 Haziran 2024’teki ilk kampanya bir Office belgesi kullanırken, ikinci kampanya bir bağlantı içeriyordu,” diye belirtti. “Her iki kampanya da kurbanı, 9002 RAT’ın bir varyantını iletmek için İtalyan hükümeti benzeri bir alan adının bağlantısından bir Skype for Business paketi yüklemeye davet etti.”
APT17 ilk olarak 2013 yılında Google’a ait Mandiant (o zamanki adıyla FireEye) tarafından, Microsoft’un Internet Explorer’ındaki sıfırıncı gün açıklarını kullanarak ilgi duyulan hedeflere sızmayı amaçlayan DeputyDog ve Ephemeral Hydra adlı siber casusluk operasyonlarının bir parçası olarak belgelenmişti.
Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx ve TEMP.Avengers adlarıyla da bilinir, ayrıca Webworm adlı başka bir tehdit grubuyla bazı ortak araçlara sahiptir.
9002 RAT, diğer adıyla Hydraq ve McRAT, 2009 yılında Google ve diğer büyük şirketleri hedef alan Aurora Operasyonu’nda tercih edilen siber silah olarak ün kazandı. Daha sonra, saldırganların çeşitli web sitelerine kötü amaçlı yönlendirmeler enjekte ettiği Sunshop adlı başka bir 2013 saldırısında da kullanıldı.
Son saldırı zincirleri, alıcıları Skype Kurumsal için bir MSI yükleyicisini (“SkypeMeeting.msi”) indirmeye yönlendiren bir bağlantıya tıklamaları için kandırmak amacıyla hedefli kimlik avı tuzaklarının kullanılmasını içeriyor.
MSI paketini başlatmak, Visual Basic Script (VBS) aracılığıyla bir Java arşivi (JAR) dosyasının yürütülmesini tetiklerken, aynı zamanda Windows sistemine meşru sohbet yazılımını yükler. Java uygulaması, sırayla, 9002 RAT’ı başlatmaktan sorumlu kabuk kodunu şifresini çözer ve yürütür.
Modüler bir trojan olan 9002 RAT, ağ trafiğini izleme, ekran görüntüsü alma, dosyaları numaralandırma, işlemleri yönetme ve ağ keşfini kolaylaştırmak için uzak bir sunucudan alınan ek komutları çalıştırma gibi özelliklerle birlikte gelir.
TG Soft, “Kötü amaçlı yazılımın disksiz versiyonlarıyla da sürekli olarak güncellendiği görülüyor” dedi. “Siber aktör tarafından ihtiyaç duyulduğunda etkinleştirilen ve böylece müdahale olasılığını azaltan çeşitli modüllerden oluşuyor.”