Kiev Siber Savunucuları, Kimlik Avı E-postalarında Açık Kaynaklı RAT Bulundu

Ukrayna Bilgisayar Acil Durum Müdahale Ekibi Cumartesi günü yaptığı bir uyarıda, UAC-0154 olarak izlediği bir tehdit aktöründen gelen bilgisayar korsanlarının, “MS Office program ayarları hakkında CERT-UA önerileri” konu satırıyla kimlik avı e-postalarında CERT-UA’yı taklit ettiğini söyledi.

Bu kimlik avı e-postaları, .chm dosya – öncelikle yazılım belgelerinde kullanılan tescilli bir Microsoft biçimindeki sıkıştırılmış bir HTML belgesi. Dosya, açık kaynaklı RAT olan çalıştırılabilir bir MerlinAgent’ı indiren bir PowerShell betiği kullanan JavaScript kodunu yürütür.

Rusya’nın Şubat 2022’de Avrupa komşusunu işgal etmesiyle Ukrayna’da patlak veren çatışmanın yakın gözlemcileri, Kremlin bilgisayar korsanlarının öncelikli olarak casusluk faaliyetlerine odaklandığını söyledi. Ukrayna şu anda doğu illerinde Rus mevzilerine karşı haftalardır bir karşı saldırıya geçiyor (bakınız: Rus Hacker’lar Sistem Yıkımına Değil Casusluğa Odaklandı).

GitHub’da bulunan MerlinAgent, onu HTTP/2 protokolü üzerinden web uygulaması saldırıları hakkında bir Sans Enstitüsü tezi yazdıktan sonra programladığını söyleyen penetrasyon testçisi Russel Van Tuyl tarafından geliştirilen bir projeydi.

Van Tuyl, Merlin’i GoLang programlama dilinde programladı. “Bu, tek bir kod tabanı kullanabileceğimiz ve aracıları karşılaştığımız herhangi bir makineye yerleştirebileceğimiz, dinleme gönderisini çalıştırmaya karar verdiğimiz platforma hepsinin geri çağrılmasını sağlayabileceğimiz anlamına gelir (yalnızca Windows’a aracı koyabilmeye veya yalnızca Action Dan’in 2018’de yazdığı bir güvenlik blog yazarı.

Blogger, Merlin’in gelişmiş günlük kaydı özelliklerinin, bir operasyon tamamlandıktan sonra ayrıntıları yakalamak için yararlı olduğunu söyledi.