AhnLab Güvenlik İstihbarat Merkezi (ASEC), Güney Kore’deki kullanıcıları hedef alan aktif bir Remcos RAT kampanyası tespit etti.
Kötü amaçlı yazılım birden fazla kanal üzerinden yayılıyor. Genellikle VeraCrypt yardımcı programları veya yasa dışı çevrimiçi kumar ekosistemlerinde kullanılan araçlar gibi görünür.
RAT kurulduktan sonra oturum açma kimlik bilgilerini çalabilir, kullanıcı etkinliğini izleyebilir ve saldırganlara güvenliği ihlal edilmiş sistemler üzerinde uzaktan kontrol sağlayabilir.
İlk bulaşma senaryosunda, kötü amaçlı yazılım bir “Engellenen Kullanıcı Veritabanı Arama *****Club” programı olarak gizlenir. Yasadışı kumar çevrelerinde, “Engellenenler listesi kullanıcısı” genellikle şüpheli veya istenmeyen etkinlik nedeniyle kısıtlanan veya işaretlenen hesapları ifade eder.
Programın GUI’si, bu kısıtlı hesapları kontrol etmek için bir komut ve kontrol (C2) sunucusu olarak çalışan uzak bir veritabanını sorguluyormuş gibi davranır.
Kötü amaçlı yazılım, aşağıdaki gibi dosya adları kullanılarak web tarayıcıları ve Telegram aracılığıyla dağıtılmıştır:
Dağıtım Yolu
| Dağıtım Yolu |
|---|
| %USERPROFILE%\indirilenler\programlar*****usercon.exe |
| %USERPROFILE%\downloads\telegram masaüstü*****usercon.exe |
| %USERPROFILE%\downloads\programs\blackusernon.exe |
Bu adlar, “*****Club” gibi GUI dizeleriyle birlikte, kötü amaçlı yazılımın, yasa dışı spor bahisleri ve kumarhane sitelerinin operatörleri veya kullanıcıları için sözde bir “engellenenler listesi kullanıcı arama” aracı olarak yayıldığını güçlü bir şekilde akla getiriyor.
İlk dağıtım için kullanılan web sitelerinin tam olarak bilinmemesine rağmen, kumar araçlarıyla tematik uyum, bu yeraltı ekosisteminin odaklanmış bir şekilde hedeflendiğini gösteriyor.
Sahte arama programının oturum açma işlevi çalışmıyor ve esas olarak bir tuzak görevi görüyor. Yürütülebilir dosya, dahili olarak kaynak bölümüne gömülü iki kötü amaçlı VBS komut dosyası içerir.
Program çalıştırıldığında, bu komut dosyaları rastgele dosya adları altında %TEMP% dizinine yazılır ve yürütülür; böylece enfeksiyon zinciri arka planda sessizce başlatılır.
İkinci bir değişken, VeraCrypt yardımcı program yükleyicisinin kimliğine bürünür ve installer.exe olarak teslim edilir. Bu örnek, 7z kendi kendine açılan (SFX) arşivi olarak paketlenmiştir ve benzer şekilde kötü amaçlı bir VBS komut dosyası içerir.
Saldırganların, VeraCrypt’in meşru bir disk şifreleme aracı olarak itibarını kötüye kullanarak genel kullanıcıların yükleyiciye güvenme ve onu yürütme şansını artırdığı ve kampanyanın etkisini kumarla ilgili hedeflerin ötesine taşıdığı belirtiliyor.
Saldırı zinciri, analiz ve tespitten kaçınmak için birden fazla komut dosyası içeren aşamalara, ağır gizlemeye ve yanıltıcı dosya uzantılarına dayanır. Gözlenen aşamalar şunları içerir:
StageTypeName/Örnek
| Sahne | Tip | Ad/Örnek |
|---|---|---|
| 1 | Kurulumcu | (Sahte Veritabanı aracı / VeraCrypt) |
| 2 | VBS indiricisi | %TEMP%[Random].vbs |
| 3 | VBS damlalığı | XX12.JPG |
| 4 | VBS indiricisi | Config.vbs |
| 5 | VBS indiricisi | L1k9.JPG |
| 6 | PowerShell indiricisi | Nemi.1p90.jh |
| 7 | Enjektör | XIN_PHOTO.JPG |
| 8 | Remcos RAT yükü | Aw21.JPG |
Tehdit aktörü, Base64 kodlu PE verilerini JPG görüntüleriymiş gibi davranan dosyaların içine yerleştiriyor, yükü ayırıcı dizeler arasına yerleştiriyor ve etrafını sahte yorumlar ve önemsiz verilerle çevreliyor.
Beş komut dosyası aşamasından geçtikten sonra, zincir en sonunda düşer ve bir . NET tabanlı enjektör.
Bu enjektör, Discord Webhooks aracılığıyla saldırgana yürütme günlükleri gönderiyor ve ardından argüman olarak sağlanan bir URL’den Remcos RAT yükünü indiriyor.
Yükün şifresini çözer ve meşru AddInProcess32.exe işlemine enjekte eder. Bu enjektörün, bilinen diğer Remcos iş akışlarında yaygın olmayan Korece dildeki mesajları ve dizeleri içermesi dikkat çekicidir ve Güney Koreli kurbanlar için yerelleştirme önermektedir.
Remcos RAT Yetenekleri
Remcos RAT, ticari olarak satılan ve sıklıkla kötü amaçlarla kötüye kullanılan bir uzaktan yönetim aracıdır. Kurulduktan sonra saldırganlara aşağıdakiler de dahil olmak üzere kapsamlı kontrol ve veri hırsızlığı yetenekleri sağlar:
- Uzaktan komut yürütme, dosya yönetimi ve süreç kontrolü.
- Keylogging ve pano izleme.
- Web kamerası ve mikrofon aracılığıyla ekran görüntüsü yakalama ve izleme.
- Web tarayıcılarından ve diğer uygulamalardan saklanan kimlik bilgilerinin çalınması.
Analiz edilen örnekler, konfigürasyonlarını “AYARLAR” adlı şifreli bir kaynakta saklar. Şifre çözüldüğünde C2 sunucuları ve diğer parametreler ortaya çıkar. Gözlemlenen konfigürasyonlar şunları içerir:
Bazı varyantlar “hisse senedi fiyatı göstergesi” gibi davranır ve muteks adlarında ve kayıt anahtarlarında Kore dizeleri kullanır.
Çevrimdışı tuş kaydının etkinleştirildiği sürümlerde, yakalanan tuş vuruşları yerel olarak %ALLUSERSPROFILE%\remcos\ altında depolanarak kurbanların oturum açma kimlikleri, şifreleri ve diğer hassas metin girişleri daha da açığa çıkar.
Kampanya, Remcos RAT operatörlerinin aktif olarak Güney Koreli kullanıcıları hedef aldığını ve özellikle yasa dışı çevrimiçi kumarla uğraşan bireylere odaklandığını gösteriyor.
Aynı zamanda, sahte VeraCrypt yükleyicilerinin kullanılması, düzenli kullanıcıların da güvenilmeyen kaynaklardan araç indirmeleri durumunda etkilenebileceğini gösteriyor.
Remcos uzaktan kontrolü, kimlik bilgisi hırsızlığını, tuş kaydetmeyi ve tam kullanıcı gözetimini desteklediğinden, bir enfeksiyon ciddi gizlilik ihlallerine, hesabın ele geçirilmesine ve potansiyel mali kayba yol açabilir.
Kullanıcılar ve kuruluşlar, bilinmeyen veya resmi olmayan kaynaklardan yazılım indirmekten kaçınmalı, yükleyicileri sağlama toplamları veya güvenilir portallar aracılığıyla doğrulamalı ve komut dosyası tabanlı indiricileri, karartılmış VBS/PowerShell’i ve RAT davranışını tespit edebilen güncel güvenlik çözümlerini sürdürmelidir.
Virüs bulaştığından şüphelenilen herhangi bir sistem yalıtılmalı, kapsamlı bir şekilde taranmalı ve düzeltmenin ardından tüm kimlik bilgileri hemen değiştirilmelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.