Windows sistemleri üzerinde kalıcı uzaktan kumanda oluşturmak için ileri kaçakçılığa sahip olmak üzere Kolombiyalı organizasyonları hedefleyen gelişmiş bir uzaktan erişim Truva (sıçan) kampanyası ortaya çıktı.
DCRAT olarak tanımlanan kötü amaçlı yazılım, Latin Amerika kuruluşlarına yönelik siber tehditlerde önemli bir artışı temsil eder ve kurbanları kötü niyetli yükler yürütmeye kandırmak için hükümet taktikleri kullanır.
Saldırı kampanyası, Kolombiya hükümet ajanslarını taklit eden, alıcıları toplu dosyalar içeren şifre korumalı fermuar ekleri açmaya yönlendiren özenle hazırlanmış kimlik avı e-postalarından yararlanıyor.
.webp)
Bu ilk vektörler, steganografi, Base64 kodlama ve çoklu dosya damlaları gibi sofistike gizleme teknikleri aracılığıyla geleneksel güvenlik önlemlerini atlamak için tasarlanmış karmaşık bir çok aşamalı enfeksiyon süreci için giriş noktaları olarak işlev görür.
Fortinet analistleri, son araştırmalar sırasında bu tehdidi belirledi ve DCRAT’ın tipik kötü amaçlı yazılım işlevselliğinin çok ötesine uzanan kapsamlı gözetim yeteneklerini ortaya koydu.
Sıçan, saldırganların uzak komutları yürütmelerini, dosyaları yönetmesini, kullanıcı etkinliğini izlemesini, ekran görüntülerini yakalamasını, anahtarlama işlemlerini gerçekleştirmesini ve ek kötü amaçlı yükler indirmesini sağlar.
Modüler mimarisi, tehdit aktörlerinin işlevselliği belirli hedeflere dayalı olarak özelleştirmelerini sağlar ve bu da hedeflenen casusluk kampanyaları için özellikle tehlikeli hale getirir.
Çok aşamalı yük dağıtım ve steganografik gizleme
Enfeksiyon mekanizması, çok katmanlı gizleme stratejisi ile kayda değer bir gelişmişlik göstermektedir.
Yürütme üzerine, ilk toplu iş dosyası, daha sonra gömülü baz64 değişkenleri içeren PowerShell kodu yürüten Pastebin benzeri hizmetlerden yoğun bir şekilde gizlenmiş bir VBS komut dosyasını alır.
Bu PowerShell komut dosyası, son yürütülebilir yükü steganografik teknikler aracılığıyla gizleyen görüntü dosyalarını barındıran uzak sunuculara bağlantı kurar.
Kötü amaçlı yazılımların kalıcılık mekanizmaları, kullanıcı ayrıcalıklarına göre değişir ve idari erişim veya kayıt defteri girişleriyle planlanan görevler oluşturur HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ standart kullanıcılar için.
.webp)
DCRAT, komut ve kontrol sunucusu adresleri (176.65.144.19:8848), muteks adları (DCRATMUTEX_QWQDanchun) ve işletme bayrakları dahil olmak üzere kritik parametrelerin şifresini çözmek için sabit kodlu BASE64 anahtarlarını kullanarak AES256 şifrelemesini kullanır.
Tespitten kaçınmak için DCRAT, AMSiscanBuffer işlevini bellekte yamalayan AMSI baypas teknikleri dahil olmak üzere birden fazla anti-analiz özelliği uygular ve Windows antimalware tarama arabiriminin kötü amaçlı kod yürütülmesini algılamasını önler.
Kötü amaçlı yazılım ayrıca, sanal makine ortamlarını tanımlamak için Win32_Cachememory cihazlarını sorgular ve kum havuzu koşulları tespit edilirse yürütmeyi sonlandırır.
Sıçan, SetThreadExecutiontate çağrılarını 0x80000003 ile setthreadExecutionState ile uyku modunu önleyerek sistem etkinliğini sürdürerek komut ve kontrol altyapısı ile kalıcı iletişim kanalları oluştururken sürekli çalışma sağlar.
Sistem manipülasyonu ve kaçırma konusundaki bu kapsamlı yaklaşım, kritik altyapı ve devlet kuruluşlarını hedefleyen modern sıçan kampanyalarının gelişen sofistike olduğunu göstermektedir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi