Son zamanlarda Cloudsek’teki siber güvenlik araştırmacıları tarafından yaygın olarak “senaryo çocukları” olarak bilinen siber güvenlik araştırmacıları tarafından ortaya çıkarıldı.
Operasyon, çeşitli çevrimiçi kanallar aracılığıyla silahlandırılan ve yayılan Xworm uzaktan erişim Trojan (Rat) Builder’ın truva atışlı bir versiyonunu içerir.
Burada kötü niyetli Xworm sıçan üreticisi öncelikle GitHub depoları aracılığıyla dağıtıldı, ancak diğer dosya paylaşım hizmetleri, telgraf kanalları, YouTube videoları ve hack forumları da kullanıldı.
.webp)
Araştırmacılar, bu platformların aracı Xworm sıçanının ücretsiz bir versiyonu olarak ilan ettiğini ve kolayca temin edilebilen hack araçlarını arayan deneyimsiz siber suçlulara hitap ettiğini belirtti.
Are you from SOC/DFIR Teams? - Analyse Malware Files & Links with ANY.RUN Sandox -> Try for Free
Saldırı vektörü ve enfeksiyonu
Yüklendikten sonra, truva işlemi oluşturucu kullanıcının sistemini Xworm kötü amaçlı yazılımla bulaşır. Bu sıçan, aşağıdakileri içeren çok çeşitli kötü amaçlı etkinlikler gerçekleştirebilir:
- Tarayıcı kimlik bilgileri, uyumsuzluk jetonları ve telgraf verileri gibi hassas verilerin ortaya çıkması
- Ekran görüntüleri ve tuş vuruşları yakalama
- Uzak Komutları Yürütme
- Kalıcılık için Windows Kayıt Defterini Değiştirme
- DDOS saldırılarını başlatma
- Fidye Yazılımı İşlemleri için Dosyaları Şifreleme
Kötü amaçlı yazılım, sanal havuzlu ortamlarda algılamayı önlemek için sanallaştırma kontrolleri de dahil olmak üzere gelişmiş kaçırma teknikleri kullanır.
Xworm, Telegram’ı komut ve kontrol (C2) altyapısı olarak kullanır. Enfekte olmuş her sistem, sabit kodlu bir bot kimliği ve jeton kullanılarak telgraf tabanlı bir C2 sunucusuna kaydedilir.
Bu, saldırganların Telegram API çağrıları aracılığıyla komutlar vermesine ve çalınan verileri dışarı atmasına izin verir.
Kampanya, küresel olarak 18.459’dan fazla cihazı başarıyla tehlikeye attı ve Rusya, ABD, Hindistan, Ukrayna ve Türkiye’de bildirilen en fazla enfeksiyon sayısı.
.webp)
Araştırmacılar, kötü amaçlı yazılımların birden fazla cihazdan 1 GB’dan fazla tarayıcı kimlik bilgilerini verdiğini buldular.
CloudSek araştırmacıları, kötü amaçlı yazılım içinde aktif cihazlardaki işlemleri bozmaktan yararlandıkları bir “Kill Switch” özelliği belirlediler. Bununla birlikte, çevrimdışı makineler ve Telegram’ın hız sınırlaması gibi sınırlamalar, eradikasyonu tamamlamak için zorluklar yarattı.
.webp)
Operasyon, “@shinyenigma” ve “@milleniumRat” gibi takma adlar kullanılarak bir tehdit oyuncusuna bağlandı. Kampanya ile bağlantılı olarak ilişkili GitHub hesapları ve bir protonmail adresi de tanımlanmıştır.
Güvenlik uzmanları, özellikle ücretsiz hack araçları olarak tanıtılanları, imzasız yazılımları indirme ve yürütme konusunda tavsiyelerde bulunurlar.
Kuruluşlar ve bireyler, sağlam uç nokta algılama ve yanıt (EDR) çözümleri uygulamalı, şüpheli telgraf API çağrıları için ağ trafiğini izlemeli ve sistemleri güncel tutmalıdır.