Bilgisayar korsanları, kurbanın bilgisayarına uzaktan yetkisiz erişim sağlamak ve onu kontrol etmek için Uzaktan Erişim Truva Atlarını (RAT’lar) kullanır.
RAT’lar, tehdit aktörlerinin kurbandan gizli kalarak aşağıdaki kötü niyetli eylemleri gerçekleştirmesine olanak tanır:-
- Hassas bilgilerin çalınması
- İzleme faaliyetleri
- Ek kötü amaçlı yazılım dağıtma
Yakın zamanda Cisco Talos’taki siber güvenlik araştırmacıları, “SugarGh0st” olarak adlandırılan yeni bir RAT yaydığı tespit edilen kötü amaçlı bir kampanya keşfetti.
Güvenlik analistleri ayrıca bu yeni kötü amaçlı kampanyanın Ağustos 2023’ün başından beri aktif olduğunu doğruladı.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
SugarGh0st RAT, Windows Kısayolu aracılığıyla
Bunun yanı sıra, bu yeni SugarGh0st RAT’ın dağıtımı, tehdit aktörleri tarafından kötü amaçlı Windows Kısayolu ve JavaScript aracılığıyla yapılıyor.
Bu kampanyada Talos araştırmacıları öncelikle aşağıdaki iki ülkedeki kullanıcıları hedefleyen dört örnek belirledi:-
Örnekler arasında, Özbekistan’daki bir başkanlık kararnamesi ile ilgili sahte bir belgenin teslim edildiği Windows Kısayol LNK dosyasının yer aldığı bir arşiv de yer alıyor.
Yem içeriği 2021 yılına ait Özbek kaynaklarıyla eşleşiyor. Olası ilk vektör, bir Dışişleri Bakanlığı çalışanına gönderilen kötü amaçlı RAR arşivini içeren bir kimlik avı e-postasıdır.
Hedefler, Özbekistan’ın yanı sıra Güney Kore’yi de kapsıyor; bu, Windows Kısayolundaki kötü amaçlı bir JavaScript dosyası aracılığıyla Korece dilindeki üç sahte belgenin düşürülmesiyle kanıtlanıyor. Belgeler bir Microsoft hesabı bildirimini taklit eder, blockchain haber içeriğinden yararlanır ve bilgisayar bakım talimatlarını sağlar.
Güney Koreli IP’lerden gelen C2 alan adı talepleri, odağı daha da doğruluyor. Eserler, isimlerin Basitleştirilmiş Çince olarak gösterildiği sahte dosyalar ile Çince konuşan bir aktöre işaret ediyor.
Aktörün bir Gh0st RAT çeşidi olan SugarGh0st’i tercih etmesi, Çin’in 2008’den beri bilinen tehdit aktörü uygulamalarıyla örtüşüyor. Çinli aktörler tarihsel olarak Özbekistan’ı hedef alıyor ve bu da mevcut kampanyanın Dışişleri Bakanlığı ile uyumunu destekliyor.
Özelleştirilmiş bir Gh0st RAT çeşidi olan SugarGh0st’in kökeni Çin C.Rufus Güvenlik Ekibinin 2008 sürümüne kadar uzanabilir. Gh0st RAT’ın kamu kaynak kodunun kullanılabilirliği, Çince konuşan aktörlerin gözetim için tercih ettiği çok sayıda varyantın ortaya çıkmasına yol açtı.
SugarGh0st, belirli ODBC kayıt defteri anahtarlarını arayarak ve C2 iletişim protokolünü değiştirerek keşif işlemini geliştirir.
Uzaktan yönetim ve tespitten kaçınmaya yönelik özellikleri uyarlar ve aşağıdakiler de dahil olmak üzere Gh0st RAT’ın yetenekleriyle uyumludur: –
- Uzaktan kumanda
- Keylogging
- Web kamerası erişimi
- Rastgele ikili dosyaları çalıştırma
Windows Kısayoluna sahip kötü amaçlı RAR, JavaScript’i tetikler ve ardından aşağıdaki öğeleri bırakır: –
- Şifrelenmiş SugarGh0st yükü
- DLL yükleyici
- Toplu komut dosyası
Daha sonra toplu komut dosyasını yandan yüklenen rundll32 aracılığıyla çalıştırır ve yansıtıcı bir şekilde çalışacak şekilde yükün şifresini çözer.
İkinci enfeksiyon zincirinde RAR, kötü amaçlı Windows kısayollarını barındırır, %TEMP%’de JavaScript damlatıcısını bırakma komutlarını yürütür ve cscript ile çalışır. Daha sonra, sonraki bölümde JavaScript düşer: –
- Yem
- DynamicWrapperX DLL
- Şifrelenmiş SugarGh0st
Meşru DLL, SugarGh0st yükü için kabuk kodunu etkinleştirir.
SugarGh0st, sabit kodlanmış alanı ve bağlantı noktasını kullanarak “WSAStartup” işlevleri aracılığıyla C2’ye bağlanır. Aşağıda, bulunan iki C2 alanından bahsettik: –
- giriş yapmak[.]Drive-google-com[.]teşekkürler
- hesap[.]Drive-google-com[.]teşekkürler
SugarGh0st’in İşlevleri
Aşağıda SugarGh0st’in işlevlerinden bahsettik: –
- Bilgisayar adını toplar.
- İşletim sistemi sürümünü toplar.
- Kurban makinenin kök ve diğer sürücü bilgilerini toplar.
- Varsa “HKEY_LOCAL_MACHINE\Software\ODBC\H” kayıt defteri anahtarını toplar.
- Windows sürüm numarasını toplar.
- Kök sürücünün birim seri numarasını toplar.
- Kurbanın makine kamerasına erişin.
- Dosyaları arayabilir, kopyalayabilir, taşıyabilir ve silebilir.
- Yakalanan verileri sıkıştırın.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.