Tehdit aktörlerinin, virüs bulaşmış cihazları bir botnet’e dahil etmek için NiceRAT adlı kötü amaçlı yazılımı dağıttıkları gözlemlendi.
Güney Koreli kullanıcıları hedef alan saldırılar, kötü amaçlı yazılımı Microsoft Windows gibi kırık yazılımlar veya Microsoft Office için lisans doğrulaması sunduğunu iddia eden araçlar kisvesi altında yaymak için tasarlandı.
AhnLab Güvenlik İstihbarat Merkezi (ASEC), “Crack programlarının doğası gereği, sıradan kullanıcılar arasındaki bilgi paylaşımı, kötü amaçlı yazılımın ilk dağıtıcıdan bağımsız olarak dağıtımına katkıda bulunuyor” dedi.
“Tehdit aktörleri genellikle kötü amaçlı yazılımdan koruma programlarını dağıtım aşamasında kaldırmanın yollarını açıkladığından, dağıtılan kötü amaçlı yazılımı tespit etmek zordur.”
Alternatif dağıtım vektörleri, Amadey Bot adlı başka bir kötü amaçlı yazılımı yaymak için Nitol DDoS kötü amaçlı yazılımını kullanan önceki etkinliği yansıtan, NanoCore RAT olarak bilinen bir uzaktan erişim truva atının (RAT) sızdığı zombi bilgisayarlardan oluşan bir botnet’in kullanımını içerir.
NiceRAT, komut ve kontrol (C2) için bir Discord Webhook kullanan ve tehdit aktörlerinin ele geçirilen ana bilgisayardan hassas bilgileri çekmesine olanak tanıyan, Python’da yazılmış, aktif olarak geliştirilmiş açık kaynaklı bir RAT ve hırsız kötü amaçlı yazılımdır.
İlk olarak 17 Nisan 2024 tarihinde yayınlanan programın güncel sürümü 1.1.0’dır. Geliştiricisine göre, aynı zamanda premium bir sürüm olarak da mevcut ve bu da hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında tanıtıldığını gösteriyor.
Bu gelişme, Fast Reverse Proxy (Hızlı Ters Proxy) adı verilen meşru bir aracın değiştirilmiş bir versiyonunu kullanarak bir ters proxy yapılandırılarak 2023’ten bu yana C2 sunucuları olarak yüksek performanslı madenci botları kullanılarak tespit edilen Bondnet olarak adlandırılan bir kripto para birimi madenciliği botnet’inin geri dönüşü sırasında ortaya çıkıyor ( FRP).