Xworm Remote Access Trojan (Rat) inşaatçısının truva atışlı bir versiyonunu içeren yeni bir siber güvenlik saldırısı, dünya çapında 18.000’den fazla cihazdan ödün verdi.
Öncelikle GitHub depoları, telgraf kanalları ve diğer platformlar aracılığıyla dağıtılan bu gelişmiş kötü amaçlı yazılımlar, bilmeden kötü amaçlı araçlar indiren “senaryo çocukları” olarak da bilinen siber güvenlik acemilerini hedeflemiştir.
Trojanize Xworm Rat Builder, küresel olarak 18.000’den fazla cihazdan istismar ediyor
Kötü amaçlı yazılım, Rusya, Amerika Birleşik Devletleri, Hindistan, Ukrayna ve Türkiye’de, hassas verileri peçelenin birincisi ve enfekte olmuş makineler üzerinde uzun vadeli kontrolün sürdürülmesi amacıyla sızmış cihazlara sahiptir.
Telegram’ı komut ve kontrol (C&C) altyapısı olarak kullanan kötü amaçlı yazılım, saldırganlara tarayıcı kimlik bilgilerini, uyumsuzluk belirteçlerini, sistem bilgilerini ve daha fazlasını sunma yeteneği sağlar.
Buna ek olarak, sanallaştırılmış ortamlarda algılamadan kaçınmak için gelişmiş sanallaştırma kontrolleri kullanır ve Windows kayıt defteri girişlerini kalıcılık için manipüle eder.
Yetenekleri, dosyaları şifrelemek, veri çalmak ve hatta kurban sistemlerine “mavi ölüm ekranı” (BSOD) çağırma gibi kötü amaçlı komutlar vermeye kadar uzanır.
Kesinti çabaları malworking’in kendi öldürme anahtarından yararlanıyor
Kötü amaçlı yazılımları araştıran araştırmacılar, binlerce enfekte makineyi kontrol eden botnet’i nötralize etmek için yerleşik kaldırma komutundan başarıyla yararlandı.
Telegram Communications’dan yararlanarak, aktif cihazlara toplu olarak kaldırılan komutlar gönderdiler.
Bununla birlikte, bu yaklaşım, çevrimdışı makineler ve Telegram’ın hız sınırlama işlevleri de dahil olmak üzere belirli sınırlamalarla kısıtlanmıştır.
Komut patlaması sırasında çevrimiçi olmayan makineler enfekte olmaya devam eder ve bu kadar yaygın bir kötü amaçlı yazılım kampanyasını tamamen ortadan kaldırma zorluklarını vurgular.
Kötü amaçlı yazılım mimarisi, operasyonunda etkili olan sert kodlanmış telgraf bot kimlikleri ve belirteçlerini ortaya çıkardı.
Veri analizi, 1 GB’tan fazla tarayıcı kimlik bilgilerinin ve binlerce ekran görüntüsü ve uyumsuzluk belirteçlerinin söndüğünü gösterdi.
Atıf çabaları, tehdit aktörlerini GitHub hesaplarına ve protonmail adresine bağlı “@shinyenigma” ve “@milleniumrat” gibi takma adlara kadar takip etti.
CloudSek’teki uzmanlar, bu ölçeğin gelecekteki saldırılarını azaltmak için proaktif savunma önlemlerinin önemini vurgulamaktadır.
Kötü amaçlı C&C sunucuları ile iletişim için uç nokta algılama ve yanıt (EDR) çözümlerinin dağıtılması ve ağ trafiğinin izlenmesi kritik ilk adımlardır.
Kuruluşlara ayrıca, daha katı uygulama beyaz liste politikalarını uygularken, enfekte gitithub depoları ve telgraf kanalları gibi bilinen uzlaşma göstergelerini (IOC’ler) engellemeleri önerilmektedir.
Çalışanları yetkisiz indirme ve kötü amaçlı araçların riskleri konusunda eğitmek, bir başka hayati azaltma stratejisidir.
Ayrıca, kalıcı kötü amaçlı yazılımların kaldırılması, kayıt defteri girişlerinin ve başlangıç komut dosyalarının manuel olarak temizlenmesinin yanı sıra derin sistem taramaları gerektirir.
GitHub ve Telegram gibi kolluk kuvvetleri ve platform sağlayıcıları ile işbirlikçi çabalar, kötü niyetli altyapıyı sökmek ve tehdit aktörlerini sorumlu tutmak için gereklidir.
Trojanize Xworm Rat Builder, modern kötü amaçlı yazılım kampanyalarının artan sofistike olmasını, sürekli uyanıklık, ileri siber güvenlik araçları ve proaktif eğitim ihtiyacını vurgulamaktadır.
Deneyimsiz kullanıcıları yararlı kamu hizmetleri olarak gizlenmiş kötü niyetli araçlarla hedefleyerek, yaygın ihlaller başlatmak için güvenden yararlanan saldırganlar.
Tehdit istihbarat paylaşımı, hızlı tepki ve sağlam sistem güvenliği konusundaki öne doğru hareket etmek, bu tür gelişmiş tehditlerle mücadelede çok önemli olacaktır.
Are you from SOC/DFIR Teams? - Analyse Malware Files & Links with ANY.RUN Sandox -> Try for Free