DCRAT, uzaktan kumanda, anahtarlama, ekran yakalama ve veri hırsızlığı için Windows sistemlerini hedefler


DCRAT olarak bilinen bir uzaktan erişim Trojan’ı (sıçan) dağıtan gelişmiş e-posta tabanlı bir saldırı yakın zamanda FortiMail IR ekibi tarafından, özellikle Kolombiya’daki kuruluşları hedefleyen tanımlanmıştır.

Kolombiyalı bir hükümet kuruluşunu taklit eden kampanya, Microsoft Windows sistemlerini tehlikeye atmak için ileri kaçaklama tekniklerinden yararlanıyor.

Yüksek bir şiddet seviyesiyle, bu tehdit enfekte cihazları kontrol etmeyi ve hassas bilgileri hasat etmeyi ve etkilenen kullanıcılar için önemli riskler oluşturmayı amaçlamaktadır.

Kolombiya’da yeni kimlik avı kampanyası ortaya çıktı

Saldırı zinciri, yürütüldüğünde, tespiti atlamak ve tehdit oyuncusu için kalıcı erişim sağlamak için tasarlanmış çok aşamalı bir yük dağıtım süreci başlatan kötü niyetli eklere sahip kimlik avı e-postalarını içerir.

DCRAT kötü amaçlı yazılım
Bu kampanyada kullanılan kimlik avı e -postası

Saldırı, bir kimlik avı e-postasıyla başlar, genellikle parola korumalı bir fermuar arşivi içeren dağıtım listesini gizlemek için alıcıyı BCC alanına yerleştirir.

İçeride, bir .bat dosyası, Pastebin benzeri bir web sitesinden C: \ Windows \ Temp dizine kadar şaşkın bir VBS komut dosyasının indirilmesini tetikler.

DCRAT kötü amaçlı yazılım
VBS dosyası

Fortinet, önemsiz kod ve gizleme ile yüklü olan bu komut dosyasının, nihayetinde steganografi aracılığıyla bir görüntü dosyasına gömülü gizli bir .NET kütüphanesini geri alan baz64 kodlu bir yükü yürüttüğünü bildirdi.

DCRAT’ın yeteneklerinin teknik dökümü

Son aşama, yürütülebilir bir sıçan dosyasının tersine çevrilmiş bir URL’den C: \ Users \ public \ indirmelerini indirmeyi içerir, bu da daha sonra sert kodlanmış bir AES256 anahtarı kullanılarak şifre çözülür.

DCRAT’ın modüler mimarisi, saldırganların belirli kötü amaçlı etkinlikler için eklentilerle davranışlarını özelleştirmesine olanak tanır.

Kapsamlı yetenekleri arasında uzaktan sistem kontrolü, dosya ve süreç yönetimi, tarayıcı veri toplama, kimlik bilgisi hırsızlığı, keyloglama ve ekran görüntüsü yakalama bulunur.

Ek olarak, yeniden başlatma, duvar kağıtlarını değiştirme veya hesap oluşturma gibi sistem ayarlarını manipüle edebilir ve tespit etmek için muteks oluşturma ve süreç sona erme gibi anti-analiz tekniklerini kullanır.

Yapılandırılırsa, idari ayrıcalıklar altında fesih üzerine mavi bir ölüm ekranını tetiklemek için kendisini kritik bir süreç olarak işaretleyebilir.

Kalıcılık için DCRAT, görevleri SchTasks aracılığıyla planlar veya HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RUN altında kayıt defteri girişlerini ayarlar.

Ayrıca, bellek arabelleklerini yamalayarak Windows Antimalware tarama arayüzünü (AMSI) devre dışı bırakır ve 176.65.144.19:8848’de komut ve kontrol (C2) sunucusuyla bağlantısını korumak için sonsuz bir döngü girer ve daha fazla sömürü için sürekli iletişim sağlar.

Böyle bir enfeksiyonun etkisi derindir, saldırganların hassas verileri çalmasını, operasyonları bozmasını ve tehlikeye atılan sistemlere doğrudan erişim yoluyla finansal hasara neden olmasını sağlar.

Fortinet’in Fortimail, Fortigate, Forticlient ve Fortiedr dahil korumaları, bu kötü amaçlı yazılımları MSIL/Agent.CFQ!

Buna ek olarak, Fordiguard CDR kötü niyetli içeriği silahsızlandırırken, IP itibarı ve botnet karşıtı hizmetler proaktif olarak ilgili tehditleri azaltır.

Kuruluşlar, Fortinet’in kimlik avı önleme konusunda eğitmek ve etkilenirse Global Fortiguard olay müdahale ekibiyle iletişim kurmak için Fortinet’in ücretsiz NSE eğitiminden yararlanmaya çağırılır.

Uzlaşma Göstergeleri (IOCS)

TipDeğer
UrlHXXP[:]// yapıştır[.]EE/D/JYHEQBJ3/0
UrlHxxps[:]// yapıştır[.]EE/D/OAQRIS3G
UrlHxxps[:]// IA601205[.]biz[.]arşiv[.]org/26/öğeler/new_image_20250430/new_image[.]JPG
Zip sha-256db21cc64fb7a7ed9075c96600b7e7007a0df7cb837189c65510a6f828590
Yarasa sha-25634B8040D3DAD4BD9F3473FBC3363FCDA819AC479DB8497FB857865CEE77AD89
VBS SHA-256B0f3c7e17875b5e1545678b3878ce268ff4bde718b6254ce01b0b864801b8
Exe sha-25677A22E30E4CC900379FD4B04C707D2DFD174858C8E1EE3F1CBECD4ECE1FAB3FE
C2 Adresi176[.]65[.]144[.]19[:]8848

Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt



Source link