Siber güvenlik araştırmacıları, uzaktan erişim Truva atı yeteneklerini psikolojik bir savaş bileşeni ve geliştirilmiş yayılma mekanizmaları ile genişleten iki sofistike asyncrat varyantı belirlediler.
Yeni keşfedilen çatallar, ses manipülasyonu ve Autorun tabanlı enfeksiyon tekniklerini canlandıran bir USB kötü amaçlı yazılım serpintisi yoluyla kurbanları terörize etmek için tasarlanmış bir “Screamer” eklentisi tanıttı.
Gelişmiş eklenti mimarisi yeni saldırıları sağlıyor
En son Asyncrat türevleri, DCRAT ve Venomrat gibi yerleşik varyantlarda bulunmayan özellikleri uygulamak için kötü amaçlı yazılımların modüler eklenti mimarisinden yararlanır.
C#ile yazılan bu çatallar, AES256 ve SHA256 şifreleme sınıflarını içeren karakteristik istemciyi korur.
Bununla birlikte, yeni varyantlar, MessagePack serileştirme ve veri iletim verimliliğini artıran yükseltilmiş .NET Framework uygulamalarını içerir.
Başlangıçlaştırma işlevinin analizi, sürüm alanının özel eklenti modüllerine bağlanan tanımlayıcılar içerdiği değiştirilmiş yapılandırma şemalarını ortaya çıkarır.
Algorithm.aes256 sınıfında kullanılan tuz değerleri, daha önceki çatallarla tutarlı kalır ve araştırmacıların asycrat aile ağacından soyları izlemelerini sağlar.
Ayarlar sınıfına gömülü olan Base64 kodlu sertifikalar, ilişkilendirme çabaları için ek adli belirteçler sağlar.
Screamer aracı, kötü amaçlı psikolojik operasyonlarda rahatsız edici bir evrimi temsil eder.
Bu eklenti, sistem hacmini en üst düzeye çıkarmak ve kurbanları yönlendirmek için tasarlanmış yüksek frekanslı ses patlamaları sunmak için Windows ses API’lerini manipüle eder.
Veri açığa vurma veya kimlik bilgisi hırsızlığı üzerine odaklanan geleneksel sıçan işlevlerinin aksine, Screamer bileşeni, duyusal aşırı yükleme yoluyla kritik işlemleri kesebilen veya uyumlulukları kesintiye uğratabilen bir taciz mekanizması görevi görür.
Teknik analiz, eklentinin ses uç noktalarını numaralandırdığını ve doğrudan donanım seviyesi ses sürücüleriyle arayüz oluşturarak kullanıcı modu ses kontrollerini atladığını gösterir.
Uygulama, standart ses kanalları kullanılamadığında sistem bipleri üreten başarısızlık mekanizmalarını içerir ve farklı bilgi işlem ortamlarında operasyonel etkinlik sağlar.
USB kötü amaçlı yazılım serpme bileşeni, asycrat’ı hava kaplı ağları köprüleyebilen kendi kendini kopyalayan bir solucana dönüştürür.
Çıkarılabilir ortam eklemesini tespit ettikten sonra, eklenti, hedef sistemlerde yürütmeyi tetikleyen gizli Autorun.inf dosyaları oluştururken kötü amaçlı yazılım yükünü USB sürücülerine otomatik olarak kopyalar.
Bu yayılma mekanizması, güvenlik önerilerine rağmen birçok kurumsal ortamda etkin kalan eski Windows Autorun işlevselliğini kullanır.
Enfekte USB sürücüleri, gündelik denetimden kaçınmak için sistem düzeyinde özelliklere sahip gizlenmiş yürütülebilir dosyalar ve geri tahrik zaman damgaları içerir.
Bu asycrat çatallarının melez doğası geleneksel imza tabanlı algılama yöntemlerini karmaşıklaştırır.
Yeni ses manipülasyonu ve USB yayılma yetenekleri ile birleştiğinde DCRAT’dan miras alınan AMSI ve ETW yama tekniklerinin kombinasyonu, kapsamlı güvenlik yaklaşımları gerektiren çok vektörlü bir tehdit oluşturur.
Kuruluşlar, bu varyantların komut ve kontrol işlemleri için kullandığı karakteristik WebSocket iletişimleri için ağ düzeyinde muayeneyi sürdürürken, anormal ses aktivitesini ve USB yazma işlemlerini tespit etmek için uç nokta davranışsal izleme uygulamalıdır.
Bu keşifler, Asyncrat’ın orijinal Github sürümünden devam eden evriminin altını çizerek, açık kaynaklı kötü amaçlı yazılım çerçevelerinin siber suçlu taktiklerde hızlı inovasyonu nasıl sağladığını gösteriyor.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.