DCRAT olarak bilinen bir uzaktan erişim Trojan’ı (sıçan) dağıtan gelişmiş e-posta tabanlı bir saldırı yakın zamanda FortiMail IR ekibi tarafından, özellikle Kolombiya’daki kuruluşları hedefleyen tanımlanmıştır.
Kolombiyalı bir hükümet kuruluşunu taklit eden kampanya, Microsoft Windows sistemlerini tehlikeye atmak için ileri kaçaklama tekniklerinden yararlanıyor.
Yüksek bir şiddet seviyesiyle, bu tehdit enfekte cihazları kontrol etmeyi ve hassas bilgileri hasat etmeyi ve etkilenen kullanıcılar için önemli riskler oluşturmayı amaçlamaktadır.
Kolombiya’da yeni kimlik avı kampanyası ortaya çıktı
Saldırı zinciri, yürütüldüğünde, tespiti atlamak ve tehdit oyuncusu için kalıcı erişim sağlamak için tasarlanmış çok aşamalı bir yük dağıtım süreci başlatan kötü niyetli eklere sahip kimlik avı e-postalarını içerir.

Saldırı, bir kimlik avı e-postasıyla başlar, genellikle parola korumalı bir fermuar arşivi içeren dağıtım listesini gizlemek için alıcıyı BCC alanına yerleştirir.
İçeride, bir .bat dosyası, Pastebin benzeri bir web sitesinden C: \ Windows \ Temp dizine kadar şaşkın bir VBS komut dosyasının indirilmesini tetikler.

Fortinet, önemsiz kod ve gizleme ile yüklü olan bu komut dosyasının, nihayetinde steganografi aracılığıyla bir görüntü dosyasına gömülü gizli bir .NET kütüphanesini geri alan baz64 kodlu bir yükü yürüttüğünü bildirdi.
DCRAT’ın yeteneklerinin teknik dökümü
Son aşama, yürütülebilir bir sıçan dosyasının tersine çevrilmiş bir URL’den C: \ Users \ public \ indirmelerini indirmeyi içerir, bu da daha sonra sert kodlanmış bir AES256 anahtarı kullanılarak şifre çözülür.
DCRAT’ın modüler mimarisi, saldırganların belirli kötü amaçlı etkinlikler için eklentilerle davranışlarını özelleştirmesine olanak tanır.
Kapsamlı yetenekleri arasında uzaktan sistem kontrolü, dosya ve süreç yönetimi, tarayıcı veri toplama, kimlik bilgisi hırsızlığı, keyloglama ve ekran görüntüsü yakalama bulunur.
Ek olarak, yeniden başlatma, duvar kağıtlarını değiştirme veya hesap oluşturma gibi sistem ayarlarını manipüle edebilir ve tespit etmek için muteks oluşturma ve süreç sona erme gibi anti-analiz tekniklerini kullanır.
Yapılandırılırsa, idari ayrıcalıklar altında fesih üzerine mavi bir ölüm ekranını tetiklemek için kendisini kritik bir süreç olarak işaretleyebilir.
Kalıcılık için DCRAT, görevleri SchTasks aracılığıyla planlar veya HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RUN altında kayıt defteri girişlerini ayarlar.
Ayrıca, bellek arabelleklerini yamalayarak Windows Antimalware tarama arayüzünü (AMSI) devre dışı bırakır ve 176.65.144.19:8848’de komut ve kontrol (C2) sunucusuyla bağlantısını korumak için sonsuz bir döngü girer ve daha fazla sömürü için sürekli iletişim sağlar.
Böyle bir enfeksiyonun etkisi derindir, saldırganların hassas verileri çalmasını, operasyonları bozmasını ve tehlikeye atılan sistemlere doğrudan erişim yoluyla finansal hasara neden olmasını sağlar.
Fortinet’in Fortimail, Fortigate, Forticlient ve Fortiedr dahil korumaları, bu kötü amaçlı yazılımları MSIL/Agent.CFQ!
Buna ek olarak, Fordiguard CDR kötü niyetli içeriği silahsızlandırırken, IP itibarı ve botnet karşıtı hizmetler proaktif olarak ilgili tehditleri azaltır.
Kuruluşlar, Fortinet’in kimlik avı önleme konusunda eğitmek ve etkilenirse Global Fortiguard olay müdahale ekibiyle iletişim kurmak için Fortinet’in ücretsiz NSE eğitiminden yararlanmaya çağırılır.
Uzlaşma Göstergeleri (IOCS)
Tip | Değer |
---|---|
Url | HXXP[:]// yapıştır[.]EE/D/JYHEQBJ3/0 |
Url | Hxxps[:]// yapıştır[.]EE/D/OAQRIS3G |
Url | Hxxps[:]// IA601205[.]biz[.]arşiv[.]org/26/öğeler/new_image_20250430/new_image[.]JPG |
Zip sha-256 | db21cc64fb7a7ed9075c96600b7e7007a0df7cb837189c65510a6f828590 |
Yarasa sha-256 | 34B8040D3DAD4BD9F3473FBC3363FCDA819AC479DB8497FB857865CEE77AD89 |
VBS SHA-256 | B0f3c7e17875b5e1545678b3878ce268ff4bde718b6254ce01b0b864801b8 |
Exe sha-256 | 77A22E30E4CC900379FD4B04C707D2DFD174858C8E1EE3F1CBECD4ECE1FAB3FE |
C2 Adresi | 176[.]65[.]144[.]19[:]8848 |
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt