Bir yeraltı siber suç forumundaki tehdit aktörlerinin, güvenlik çözümleri tarafından “tamamen tespit edilemez” olduğunu iddia ederek “KGB RAT + Crypter + HVNC” adı verilen yeni bir uzaktan erişim Truva Atı (RAT) paketini tanıttıkları iddia ediliyor.
Karanlık bir web topluluğunun bir üyesine atfedilen gönderi, araç setini entegre bir şifreleyici, gizli sanal ağ hesaplama (HVNC) yeteneği ve bir dizi sakınma ve kalıcılık özelliklerine sahip birinci sınıf bir Windows RAT olarak pazarlıyor.
Bu, burada yalnızca siber güvenlik farkındalığı ve savunma amacıyla vurgulanmıştır.
Forum ilanına göre KGB RAT paketi, Windows sistemlerini tehlikeye atmak için anahtar teslim bir çözüm olarak belirtiliyor.
Satıcı, “günlük güncellemeler” ve “FUD yerleşik şifreleyici” ile övünüyor; bu, kötü amaçlı yazılımın kodunun ve paketleme tekniklerinin, imza tabanlı algılamayı önlemek için düzenli olarak değiştirildiğini gösteriyor.
Aracın Windows Defender’ı “kalıcı olarak” atlayabileceği ve “diğer tüm antivirüslerden” kaçabileceği iddiaları suç pazarlamasının klasik özellikleridir, ancak yine de anti-analiz ve gizliliğe net bir şekilde odaklanıldığını gösterirler.
Bir şifreleyicinin dahil edilmesi özellikle endişe vericidir. Şifreleyiciler, ilk dağıtım ve yürütme sırasında güvenlik motorlarını geçmelerine yardımcı olmak için kötü amaçlı yükleri gizler veya şifreler.
Doğrudan RAT’ın oluşturucu arayüzüne bir araya getirildiklerinde, potansiyel saldırganların beceri engelini önemli ölçüde azaltarak düşük seviyeli aktörlerin bile birkaç tıklamayla yeni, özelleştirilmiş veriler oluşturmasına olanak tanır.
Gönderi ayrıca RAT’ın çalıştırılabilir ve komut dosyası türleri gibi birden fazla formatta dosyalar oluşturabileceğini, e-posta ekleri, çıkarılabilir medya veya güvenliği ihlal edilmiş web siteleri aracılığıyla potansiyel dağıtım vektörlerini genişletebileceğini öne sürüyor.
KGB RAT “Tamamen Tespit Edilemez” Olarak İlan Edildi
Reklamı yapılan bir diğer bileşen ise daha gelişmiş bankacılık Truva atlarında ve RAT’larda yaygın olarak bulunan bir özellik olan HVNC’dir (Gizli VNC).
HVNC, saldırganların kurbanın makinesinde görünmez bir masaüstü oturumu oluşturmasına, kullanıcının bilgisi olmadan sistemle etkileşime girmesine ve hesaplarda oturum açma, sahte işlemler gerçekleştirme veya ağın daha derinlerine inme gibi eylemler gerçekleştirmesine olanak tanır.
Bu etkinlikler gizli bir oturumda gerçekleştiğinden, bazı kullanıcı tabanlı izleme biçimlerini atlayabilir ve kurbanın cihazında yasal etkinlik olarak görünebilir.
Satıcı ayrıca, kullanıcı hesabı kontrolünü (UAC) ve diğer güvenlik mekanizmalarını atlama veya ortadan kaldırma yeteneği de dahil olmak üzere kalıcılık özelliklerini de vurguluyor.
Bu tür yetenekler, RAT’ın tehlikeye atılmış ana bilgisayarlar üzerinde uzun vadeli dayanaklarını korumasına yardımcı olarak casusluğu, kimlik bilgileri hırsızlığını, fidye yazılımı hazırlamayı veya botnet operasyonlarını destekler.
İddia edilen antivirüs kaçakçılığıyla birlikte KGB RAT, basit, tek seferlik güvenlik ihlalleri yerine gizli, çok aşamalı saldırıları destekleyecek şekilde tasarlanmış gibi görünüyor.
Suç forumlarındaki pazarlama dili sıklıkla abartılsa da, KGB RAT’ın tanıtımı, kötü amaçlı yazılım ekosisteminde devam eden eğilimleri yansıtıyor: artan metalaştırma, “hizmet olarak” tarzı teklifler ve karmaşık saldırıları daha geniş bir tehdit aktörleri havuzu için erişilebilir kılmak için otomasyona odaklanma.
Büyüyen RAT Pazarı Konusunda Uyardı
Güvenlik ekipleri, tehdit istihbaratı yayınlarında, günlüklerinde veya olay araştırmalarında görüldüğünde “FUD” araçlarına ve entegre şifreleyicilere yapılan referansları kırmızı bayrak olarak ele almalıdır.
Savunucuların, sağlam uç nokta koruması, davranış tespiti, uygulama kontrolü ve anormal uzak oturumlar veya süreç davranışları için sürekli izleme dahil olmak üzere katmanlı kontrollere odaklanmaları teşvik edilmektedir.
Ağ bölümleme, güçlü kimlik doğrulama ve zamanında yama uygulama, herhangi bir RAT enfeksiyonunun etkisini sınırlamada kritik öneme sahip olmaya devam ediyor.
Her zaman olduğu gibi, bu bilgiler yalnızca siber güvenlik farkındalığını artırmak ve kuruluşların karanlık web pazarlarında dolaşan yeni tehditleri tanımasına ve bunlara yanıt vermesine yardımcı olmak için paylaşılmaktadır.
Son derece dikkatli kullanın: Bu tür araçlarla herhangi bir etkileşim yasa dışı ve tehlikelidir ve bunlar yalnızca nitelikli profesyoneller tarafından kontrollü ortamlarda savunma araştırması amacıyla analiz edilmelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.