Tehdit aktörleri, Windows bilgisayar komut dosyalarını otomatikleştirmek için erişilebilir bir dil olan AutoIT’te geliştirilen bir uzaktan erişim truva atı (RAT) olan Loda’yı aktif olarak kullanıyor.
Kötü amaçlı yazılım, tuş günlüğü tutma, fotoğraf çekme, parolaları ve diğer hassas bilgileri çalmanın yanı sıra çeşitli zararlı yükler de sunabilir.
Mağdurların sistemlerine Loda bulaştırmak için en sık kullanılan saldırı yöntemi, 2016 yılından bu yana kullanılan phishing e-posta kampanyalarıdır.
Fas’tan gelen ve sıklıkla kötü amaçlı yazılımın yeni sürümlerini yayınlayan gelişmiş kalıcı tehdit (APT) olan Kasablanka grubunun, Loda’nın orijinal geliştiricileri olduğu anlaşılıyor.
Diğer tehdit aktörleri de kötü amaçlı yazılımı kullanıyor. YoroTrooper, küresel çapta çok sayıda kuruluşa saldırmak için Loda kötü amaçlı yazılım türevinden yararlanıyor ve en son saldırılar 2023 gibi erken bir tarihte başlıyor.
Çoğunlukla Avrupa ve Kuzey Amerika’daki konaklama şirketlerini hedef alan TA558, zararlı operasyonlarında Loda’yı kullanan bir diğer APT’dir.
Loda Kötü Amaçlı Yazılımın Yetenekleri
- Virüslü makineye erişmek için Uzak Masaüstü Protokolünü (RDP) kullanın.
- Veri ve dosya hırsızlığı.
- Sisteme yüklenen daha fazla kötü amaçlı yazılımı çalıştırın.
- Kullanıcının tuş vuruşlarını ve fare tıklamalarını takip edin.
- Mikrofonu dinle.
- Ekran görüntüleri ve web kamerası resimleri çekin.
- Kurbanla iletişim kurmak için bir sohbet penceresi kullanın.
- Ana makinede yüklü olan tüm virüsten koruma programlarının bir listesini almak için bir WMI sorgusu yapın.
Loda RAT’ın Çalışması
Any Run’a göre rapor Cyber Security News ile paylaşılan bilgilere göre Tehdit aktörleri, Loda’yı kurbanların bilgisayarlarına yaymak için kimlik avı e-posta kampanyaları kullanıyor. Genellikle bu tür e-postalar, tümü tehlikeli kötü amaçlı yazılımlar içeren PDF’ler, yürütülebilir dosyalar ve Microsoft Office belgeleri gibi çeşitli biçimlerdeki ekler içerir.
Loda RAT, değişkenlerinin çoğunda dize gizleme kullanıyor ve bu da güvenlik araştırmacılarının kodunu analiz etmesini zorlaştırıyor.
Loda RAT, değişkenleri uygun şekilde başlatır ve çalışma zamanı sırasında dizelerin gizliliğini kaldırır. Loda RAT’ın kullandığı diğer bir yöntem, kodlara rastgele adlar verilmesini içeren işlev adı rastgeleleştirmesidir.
Loda, hedeflenen makinenin geçici dosyalar klasöründe kendisini kopyalar ve ardından tespit edilmekten kaçınmak için kopyayı çalıştırır. Ek olarak Loda RAT, makine başlatılır başlatılmaz hemen başlatılacak şekilde planlanmış bir iş oluşturur.
Yürütmenin ardından kötü amaçlı yazılım, IP adresi, işletim sistemi sürümü ve mimari dahil olmak üzere kritik sistem bilgilerini C&C sunucusuna gönderir.
Herhangi bir şüpheli eki veya URL’yi ANY.RUN gibi ücretsiz, etkileşimli bir kötü amaçlı yazılım sanal alanında analiz etmek, size anında kesin bir karara varmanızı sağlayabilir.
Ücretsiz kaydolma
Loda RAT’ın ayrıca Android sürümü de var. Kurbanların izini sürebilen ve kullanıcıyla başlayan ses tabanlı görüşmeleri kaydedebilen bir izleme aracıdır. Ayrıca, kullanıcıların haberi olmadan SMS’leri gözetleyebilir ve hatta arama yapabilir.
Loda öncelikle yürütülebilir dosyaları %appdata%, Startup ve Temp dizinlerine atar. Bundan sonra kalıcılık kazanmak için schtasks’ı kullanarak bir hizmeti başlatır, bir Visual Basic betiğini çalıştırır ve C&C sunucusuna bağlanır.
Bir örnek Loda RAT infaz edildi ANY.RUN etkileşimli sanal alan Kötü amaçlı yazılımın kötü amaçlı faaliyetlerini ve IOC’lerini açığa çıkarır.
Birçok suç grubu Loda RAT’ı kullanıyor. Örneğin TA558, 2019’da Loda ve Revenge RAT’ı yaymak için makro yüklü PowerPoint eklerini kullandı. Bunun aksine, 2022’de grup kapsayıcı formatlarına (RAR gibi) geçti ve yük seçenekleri AsyncRAT’ı içerecek şekilde genişletildi.
Benzer şekilde Kasablanka APT, 2022’de devlet kurumlarını hedef alan çok aşamalı bir saldırı başlattı ve Loda ve WarZone RAT kötü amaçlı yazılımını dağıtmak için .iso e-posta eklerini kullandı.
Birçok suçlu, dünya çapındaki şirketlere ve devlet kurumlarına saldırılar başlatmak için bu kötü amaçlı yazılımın yapılandırma tasarımını ve erişilebilirliğini kullanıyor.
Bu nedenle Loda’nın sisteminize yanlışlıkla yüklenmesini önlemenin en basit yolu, spam e-postaları açmaktan kaçınmak ve şüpheli URL’leri ve dosyaları açarken dikkatli olmaktır.
Öneririz ANY.RUN korumalı alan Herhangi bir dosya veya bağlantı hakkında neredeyse anında rapor almak, faaliyetlerine derinlemesine bakmak ve hizmetin veritabanındaki en son örnekleri keşfetmek için sınırsız ücretsiz.
HERHANGİ BİR(.)ÇALIŞTIRMADAN İnteraktif Kötü Amaçlı Yazılım Analizinin Gücünü Burada Ücretsiz Deneyimleyin