Tehdit oyuncusu olarak bilinen Koyu karacal 2024’te Latin Amerika’da İspanyolca konuşan hedefleri hedefleyen saldırılarda Poco Rat adlı uzaktan erişim Truva atı kullanan bir kampanyaya atfedildi.
Bulgular, kötü amaçlı yazılımları “tam casusluk özellikleri paketi” ile yüklenmiş olarak tanımlayan Rus siber güvenlik şirketi pozitif teknolojilerinden geliyor.
Araştırmacılar Denis Kazakov ve Sergey Samokhin geçen hafta yayınlanan bir teknik raporda, “Dosya yükleyebilir, ekran görüntülerini yakalayabilir, komutları yürütebilir ve sistem işlemlerini manipüle edebilir.” Dedi.
Poco Rat daha önce Temmuz 2024’te Cofense tarafından, madencilik, üretim, misafirperverlik ve kamu hizmetleri sektörlerine yönelik kimlik avı saldırılarını detaylandırarak belgelenmişti. Enfeksiyon zincirleri, kötü amaçlı yazılımları dağıtmak için çok aşamalı bir işlemi tetikleyen finans temalı yemlerin kullanımı ile karakterizedir.
Kampanya o zamanlar herhangi bir tehdide atfedilmese de, pozitif teknolojiler, Crossrat ve Bandook gibi kötü amaçlı yazılım aileleri için bilinen gelişmiş bir kalıcı tehdit (APT) olan karanlık caracal ile tradecraft örtüştüğünü belirlediğini söyledi. En az 2012’den beri faaliyet gösteriyor.
2021’de siber paralı grubu, Bandook’un Güney Amerika’daki İspanyolca konuşan ülkelere karşı güncellenmiş bir versiyonunu sunan Bandidos olarak adlandırılan bir siber casusluk kampanyasına bağlandı.
En son saldırı seti, İspanyolca konuşan kullanıcılara odaklanmaya devam ederek, İspanyolca olarak yazılmış kötü niyetli ekler taşıyan fatura ile ilgili temalarla kimlik avı e-postalarından yararlanıyor. POCO sıçan artefaktlarının analizi, müdahalelerin çoğunlukla Venezuela, Şili, Dominik Cumhuriyeti, Kolombiya ve Ekvador’daki işletmeleri hedeflediğini göstermektedir.
Ekteki tuzak belgeleri, şemaya biraz daha fazla inanılabilirlik vermek amacıyla bankacılık, üretim, sağlık hizmetleri, ilaçlar ve lojistik de dahil olmak üzere çok çeşitli endüstri sektörlerini taklit etmektedir.
Açıldığında, dosyalar kurbanları meşru dosya paylaşım hizmetlerinden veya Google Drive ve Dropbox gibi bulut depolama platformlarından bir .REV arşivinin indirilmesini tetikleyen bir bağlantıya yönlendirir.
Araştırmacılar, ” “Tehdit aktörleri onları gizli yük kapları olarak yeniden kullanır ve kötü amaçlı yazılımların güvenlik algılamasından kaçmasına yardımcı olur.”
Arşiv içinde, POCO Rat’ı piyasaya sürülmesinden sorumlu olan ve bu da uzak bir sunucula temas kuran ve saldırganlara tehlikeye atılan ana bilgisayarlar üzerinde tam kontrol sağlayan Delphi tabanlı bir damlalık var. Kötü amaçlı yazılım, adını C ++ kod tabanında POCO kütüphanelerinin kullanımından alır.
POCO Rat tarafından desteklenen bazı komutlar aşağıda listelenmiştir –
- T-01-Toplanan sistem verilerini komut ve kontrol (C2) sunucusuna gönderin
- T -02 – Aktif pencere başlığını C2 sunucusuna al ve iletin
- T -03 – Yürütülebilir bir dosyayı indirin ve çalıştırın
- T -04 – Bir dosyayı tehlikeye atılan makineye indirin
- T -05 – Bir ekran görüntüsü yakalayın ve C2 sunucusuna gönderin
- T -06 – CMD.EXE’de bir komut yürüt ve çıkışı C2 sunucusuna gönderin
Araştırmacılar, “Poco Rat, yerleşik bir kalıcılık mekanizması ile gelmiyor.” Dedi. “İlk keşif tamamlandıktan sonra, sunucu büyük olasılıkla kalıcılık oluşturmak için bir komut verir veya saldırganlar POCO sıçanını birincil yükü dağıtmak için bir adım taşı olarak kullanabilir.”