Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) araştırmacıları, Rusya bağlantılı tehdit aktörü grubu UAC-0184’ün Python ile ilgili dosyaları kullanarak XWorm uzaktan erişim truva atı (RAT) ile Ukrayna’yı hedef aldığını gözlemledi.
XWorm RAT Kampanyasına Teknik Genel Bakış
Kampanya, meşru bir Excel belgesi olarak gizlenen ve yürütüldüğünde bir PowerShell betiğini çalıştıran kötü amaçlı bir LNK kısayol dosyasıyla başlıyor. Komut dosyası, belirtilen bir URL’den “pkg.zip” ve “NewCopy.xlsx” adlı iki dosyayı indirir. LNK kısayol dosyası daha sonra start komutunu kullanarak dosyaları çoğaltan ve yeni bir klasörde saklayan “pythonw.exe”yi çalıştırır. “pythonw.exe”, DLL yan yükleme yoluyla kötü amaçlı bir DLL olan “python310.dll”yi yükler ve kabuk kodunu MSBuild işlemine enjekte eder.
Bilgisayar korsanları, kötü amaçlı bir kitaplık dosyasının meşru bir dosya gibi göründüğü DLL yan yükleme adı verilen bir teknik kullanıyor. Bu, saldırganların kodlarını güvenilir yazılım kisvesi altında çalıştırmasına olanak tanır. Ek olarak, XWorm RAT’ı çalışan bir sürece enjekte etmek için Shadowloader adlı bir araç kullanıyorlar ve varlığını daha da gizliyorlar.
Daha sonra XWorm RAT yürütülür ve veri hırsızlığı, DDoS saldırıları ve kripto para birimi adresi manipülasyonu gibi çeşitli yetenekler sunar. Kötü amaçlı yazılım bir Komuta ve Kontrol (C&C) sunucusuna bağlanmaya çalışıyor, ancak analiz sırasında sunucu etkin değildi ve bu nedenle hiçbir kötü amaçlı etkinlik gözlemlenmedi.
İlk enfeksiyon vektörü belirsizliğini korurken, araştırmacılar kimlik avı e-postalarının bir rol oynayabileceğinden şüpheleniyor. Kampanyada kullanılan Excel yemine erişen kişinin hedeflenen kurban olduğu tespit edilemedi. CRIL araştırmacıları daha önce UAC-0184 tehdit aktörü grubunun Ukrayna hedeflerine hitap edecek şekilde tasarlanmış yemler kullandığını ve genellikle resmi hükümet veya kamu hizmeti iletişimlerini taklit ettiğini gözlemlemişti.
XWorm RAT’a Karşı Koruma
Kampanyada kullanılan XWorm RAT kötü amaçlı yazılımı, gelişmişlik ve teknik uzmanlığa sahip olmayan tehdit aktörlerinin bile kolayca erişebileceği şekilde tasarlandı. Çok yönlü kötü amaçlı yazılım, veri hırsızlığı, DDoS saldırıları, kripto para birimi adresi manipülasyonu, fidye yazılımı dağıtımı ve güvenliği ihlal edilmiş sistemlere ek kötü amaçlı yazılım indirme gibi çeşitli işlevler sunar. Cyble araştırmacıları bu kampanyaya karşı korunmak için çeşitli önlemler önerdiler:
- Kötü amaçlı ekleri engellemek için güçlü e-posta filtreleme uygulayın.
- Özellikle bilinmeyen gönderenlerden gelen e-posta eklerine karşı dikkatli olun.
- Mümkün olduğunda komut dosyası dillerinin yürütülmesini sınırlayın.
- Hangi programların çalışabileceğini kontrol etmek için uygulama beyaz listesini kullanın.
- Güçlü antivirüs ve kötü amaçlı yazılımdan koruma çözümlerini dağıtın.
- Güçlü, benzersiz şifreler ve iki faktörlü kimlik doğrulamayı zorunlu kılın.
- Olağandışı etkinlik veya veri sızdırma girişimleri için ağları izleyin.
Kampanya, UAC-0184’ün Ukrayna’ya kaçma teknikleriyle saldırmaya yönelik amansız çabalarını gösteriyor. Nihai veri yükü olarak XWorm RAT’ın kullanılması, tehlikeye atılmış sistemler üzerinde stratejik amaçlarla uzaktan erişim kurma niyetini gösterir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.