İstismar için meşru, iyi bilinen TeamViewer yazılımına güvenen tehdit aktörleri çok yaygın bir senaryo olmuştur.
Tehdit aktörlerinin, kurbanlara kötü amaçlı yazılım dağıtmak için iyi bilinen yazılımları kullandığı birkaç durum olmuştur.
Benzer şekilde, Cyble Research & Intelligence Labs’ın yakın tarihli bir raporu, en popüler olarak kullanılan uzak masaüstü destek yazılımının “Takım Görüntüleyici”, tehdit aktörleri tarafından njRAT kötü amaçlı yazılımını dağıtmak için istismar edildi.
njRAT kötü amaçlı yazılımı dağıtan diğer yazılımlar arasında Wireshark, Process Hacker vb.
njRAT, keylogging, parola çalma, veri hırsızlığı, web kameralarına ve mikrofonlara erişim, ek dosyalar indirme ve diğer birçok işlemi gerçekleştirebilen bir uzaktan erişim truva atıdır.
İlk olarak 2012’de keşfedildi ve Orta Doğu ülkelerindeki kuruluşlara saldırıyordu.
Silahlandırılmış TeamViewer Yükleyici
njRAT için ilk uzlaşma düzeyi, kimlik avı kampanyaları, dosya paylaşım web sitelerindeki kırılmış yazılımlar ve arabayla indirmeler gibi geleneksel yöntemleri içerir. Buna ek olarak, kötü amaçlı yazılım artık trojenleştirilmiş uygulamalar aracılığıyla dağıtılmaktadır.
Kötü amaçlı yazılım yürütüldükten sonra, C:\Windows klasörüne biri njRAT kötü amaçlı yazılım olan iki dosya bırakır.
Yükleyici daha sonra kötü amaçlı yazılımı tetikler “TeamViewer Başlangıç.exe” ve sonunda meşru olanı başlatır”teamviewer.exe” başvuru.
TeamViewer kurulumu sırasında njRAT, kendisini “system.exe” adıyla \AppData\Local\Temp klasörüne kopyalayarak aynı anda kurulumu başlatır.
Daha sonra yeni bırakılan dosyayı yürütür ve njRAT bir muteks oluşturur.
Sömürü Sonrası ve Sebat
njRAT, Windows’ta “SEE_MASK_NOZONECHECKS” ortam değişkenini değiştirerek güvenlik uyarısı istemlerinin veya iletişim kutularının kullanıcıya sunulmasını engeller ve böylece herhangi bir engel olmadan çalışır.
Ayrıca kötü amaçlı yazılım, C2 (Komuta ve Kontrol) sunucusuyla iletişime izin vermek için Güvenlik Duvarı düzenlemesini de değiştirir.
Kötü amaçlı yazılım, sistemdeki kalıcılığı korumak için sistem kayıt defterinde iki otomatik çalıştırma girişi oluşturur.
Kötü amaçlı yazılım daha sonra Tuş Vuruşları, Windows işletim sistemi sürümü, hizmet paketi, web kamerası bilgileri, geçerli tarih, kullanıcı adı, sistem mimarisi ve belirli kayıt defteri anahtarları hakkında bilgi toplar.
Tüm bu bilgileri “%appdata%/temp” klasöründe “ dosya adı altında saklar.System.exe.tmp”.
Uzlaşma Göstergeleri
| Göstergeler | Tanım |
| 224ae485b6e4c1f925fff5d9de1684415670f133f3f8faa5f23914c78148fc31 | Truva Atlı Teamviewer |
| 9b9539fec7d0227672717e126a9b46cda3315895 | |
| 11aacb03c7e370d2b78b99efe9a131eb | |
| 9bcb093f911234d702a80a238cea14121c17f0b27d51bb023768e84c27f1262a | system.exe/ TeamViewer Başlangıç.exe |
| b2f847dce91be5f5ea884d068f5d5a6d9140665c | |
| 8ccbb51dbee1d8866924610adb262990 | |
| hxxp://kkk[.]IP yok[.]biz | Bilgi ve Koşullar |