Pulsar RAT, açık kaynaklı Quasar RAT’ın gelişmiş bir türevi olarak ortaya çıktı ve saldırganların gelişmiş kaçınma teknikleri yoluyla görünmez uzaktan erişimi sürdürmesine olanak tanıyan tehlikeli geliştirmeler sunuyor.
Bu modüler Windows odaklı uzaktan yönetim aracı, tehdit karmaşıklığında önemli bir evrimi temsil ediyor.
Yalnızca bellek yürütmesini, geleneksel algılama yöntemlerini aşan gizli sanal ağ bilgi işlem (HVNC) yetenekleriyle birleştirir.
Teknik Mimari ve Yetenekler
Pulsar, verimli komut iletimi için TLS şifreli iletişim ve Mesaj Paketi ikili protokolü ile istemci-sunucu modelini kullanarak çalışır.
Kötü amaçlı yazılım, UAC atlama mekanizmaları aracılığıyla ve sistem oturum açma sırasında yükseltilmiş ayrıcalıklarla zamanlanmış görevler oluşturarak kalıcılık sağlıyor.
Pulsar’ı öncekilerden ayıran şey kapsamlı özellik setidir:
| Özellik | Tanım |
|---|---|
| Keylogging | Hassas kullanıcı girişini yakalamak için tuş vuruşlarını kaydeder. |
| Pano Ele Geçirme | Panodaki kripto para birimi cüzdan adreslerini değiştirir. |
| Kimlik Bilgisi Hırsızlığı | Entegre Kematian Grabber modülünü kullanarak kimlik bilgilerini çalar. |
| Dosya Yönetimi | Saldırganların dosyalara göz atmasına, yüklemesine ve indirmesine izin verir. |
| Uzak Kabuk | Etkilenen sistemlerde komutların yürütülmesini sağlar. |
| Veri Sızıntısı | Çalınan verileri toplar ve saldırganın kontrolündeki sunuculara gönderir. |
Kötü amaçlı yazılım, komuta ve kontrol yapılandırmasını genel yapıştırma sitelerinden alır. C2 sunucu adreslerini elde etmek için gömülü şifreleme anahtarlarını kullanarak yüklerin şifresini çözer.
Bu yaklaşım, doğrudan altyapıya maruz kalmayı azaltırken operasyonel esneklik sağlar. Pulsar’ın gelişmişliği, çok katmanlı anti-analiz cephaneliğinde yatmaktadır.
Kötü amaçlı yazılım, “QEMU HARDDISK” ve yaygın hipervizör imzaları da dahil olmak üzere sanal makinelerin göstergeleri için disk etiketlerini inceleyen sanallaştırma önleme kontrolleri içerir.
Algılamanın ardından yürütme anında durdurulur ve korumalı alan analizi engellenir. Hata ayıklamayı önleyici korumalar, güvenlik aracı incelemesini daha da engeller. Yalnızca bellek uygulaması, Pulsar’ın en önemli yeniliğini temsil eder.
Kötü amaçlı yazılım, dosyaları diske yazmadan .NET yansıması yoluyla yükleri doğrudan belleğe yükler ve disk tabanlı güvenlik izlemeyi atlayan dosyasız bir saldırı vektörü oluşturur.
Bu yaklaşım, adli yapaylıkları ortadan kaldırır ve olay müdahale görünürlüğünü önemli ölçüde azaltır.
Kod yerleştirme yetenekleri, yasal süreçler içerisinde yürütmeye olanak tanıyarak süreç adlarına dayalı algılamayı etkisiz hale getirir.
Dağıtım ve Saldırı Zincirleri
Son örnekler tedarik zinciri uzlaşmaları yoluyla dağıtımı göstermektedir.
Dikkate değer bir 2025 npm paket kampanyası, Unicode değişken kodlaması, onaltılık dönüştürme, Base64 kodlaması ve PNG görüntülerine gömülü steganografi dahil olmak üzere yedi katmanlı gizleme kullanan kötü amaçlı “askerler” ve “@mediawave/lib” kitaplıklarını kullandı.
Kurulum sonrası komut dosyaları, geliştiricilere otomatik olarak yük yükleyerek tespit edilmeden önce yüzlerce haftalık indirme işlemi gerçekleştirdi.
ANY.RUN sanal alan analizi tipik dağıtım sıralarını ortaya koyuyor: Kötü amaçlı BAT dosyaları, DelegateExecute kayıt defteri değerlerini temizleyerek ve ms-settings kayıt defteri anahtarlarına komutlar enjekte ederek UAC atlama işlemlerini yürütür.
Mekanizma, Computerdefaults.exe’yi yükseltilmiş ayrıcalıklarla başlatır ve ardından her kullanıcı oturum açışında kalıcı olacak şekilde yapılandırılmış zamanlanmış görevler oluşturur.
Pulsar öncelikle, gelişmiş uç nokta algılama ve yanıt (EDR) çözümlerine sahip olmayan Windows kullanıcılarını ve kuruluşlarını hedef alıyor ve özellikle tedarik zinciri mekanizmaları aracılığıyla geliştiricilere odaklanıyor.
Son tespitler, açık dizinler aracılığıyla Quasar, NjRAT ve XWorm varyantlarının yanı sıra Pulsar’ın da bırakıldığı çoklu RAT dağıtımlarını içeriyordu; bu da hem fırsatçı hem de hedefli enfeksiyon kampanyalarını akla getiriyor.
Son örneklerden elde edilen analiz etiketleri arasında kaçırma, kripto-regex kalıpları, donut yükleyiciler, pas tabanlı bileşenler ve Python uygulamaları yer alıyor; bu da gelişen saldırı çerçevelerini ve sürekli gelişimi gösteriyor.
Kötü amaçlı yazılımın modüler tasarımı, belirli kampanya hedeflerine ve hedef ortamlara göre özelleştirme için sorunsuz eklenti eklemelerine olanak tanır.
Kuruluşlar, 200-500 adam-saat gerektiren ve teknik tavizlerin ötesinde, fikri mülkiyet hırsızlığı ve mevzuat ihlallerine kadar uzanan Pulsar enfeksiyonları nedeniyle ciddi operasyonel etkilerle karşı karşıya kalıyor.
Kötü amaçlı yazılımın gelişmiş anti-analiz teknikleri ve dosyasız yürütme yöntemleri, EDR platformlarını, ağ bölümlendirmesini ve kullanıcı güvenliği farkındalığı eğitimini birleştiren katmanlı savunma kontrolleri gerektirir.
Tespit, gösterge aramalarını, korumalı alan analizini ve ağ altyapısı korelasyonunu birleştiren entegre tehdit istihbaratı gerektirir.
Pulsar’ı araştıran güvenlik ekipleri, hedef IP adresleri, C2 altyapısı ve yalnızca bellek yürütme ve HVNC işlemleriyle ilişkili davranışsal imzalar dahil olmak üzere göstergeleri kullanarak tehdit istihbaratı platformlarını sorgulamalıdır.
Pulsar RAT’ın gizlilik yetenekleri, kapsamlı işlevsellik ve tedarik zinciri saldırı vektörlerinin birleşimi, onu acil kurumsal dikkat ve savunma önceliklendirmesi gerektiren yeni ortaya çıkan kritik bir tehdit olarak konumlandırıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
