CADO Güvenlik Laboratuarları, uzak sistem erişimi ve veri eksfiltrasyonu için telgraftan yararlanan Triton Rat adlı yeni bir Python tabanlı uzaktan erişim aracı (RAT) ortaya çıkardı.
GitHub’da bulunan bu açık kaynaklı kötü amaçlı yazılım, kimlik bilgisi hırsızlığı, sistem kontrolü ve kalıcılık kuruluşu da dahil olmak üzere çok çeşitli kötü amaçlı etkinlikler yürütmek üzere tasarlanmıştır.
Teknik Genel Bakış
Triton Rat, Pastebin’den Base64’te kodlanan bir telgraf bot jetonu ve sohbet kimliğini alarak çalışmasını başlatır.
Bu kimlik bilgileri, kötü amaçlı yazılımın komut ve kontrol (C2) sunucusu olarak hizmet veren bir telgraf botuyla iletişim kurmasını sağlar.
Sıçan, keyloglama, web kamerası erişimi, pano veri hırsızlığı ve kaydedilmiş şifreleri ve Roblox güvenlik çerezlerini çalma yeteneği dahil olmak üzere kapsamlı bir özellik seti ile donatılmıştır.
Özellikle, Roblox çerezleri (.Roblosecurity) Chrome, Edge, Firefox ve Cesur gibi birden fazla tarayıcıda hedeflenir.
Bu çerezler, Roblox hesaplarına yetkisiz erişim elde etmek için iki faktörlü kimlik doğrulamasını (2FA) atlayabilir.
Kötü amaçlı yazılım ayrıca Wi-Fi kimlik bilgileri gibi sistem bilgilerini toplar ve kabuk komutlarını uzaktan yürütür.
Ekranları kaydedebilir, duvar kağıtlarını değiştirebilir ve dosyaları yükleyebilir veya indirebilir.
Anti-analiz amaçları için Triton Rat, XDBG ve OLLYDBG veya antivirüs yazılımı gibi hata ayıklama araçlarıyla ilişkili “kara listeye alınan” süreçleri algılar.
Kalıcılık mekanizmaları
Enfekte sistemlerde kalıcılığı korumak için Triton Rat, VBScript ve toplu komut dosyaları aracılığıyla ikincil yükleri dağıtır.
Bir VBScript updateagent.vbs Windows Defender’ı devre dışı bırakır, yedekler oluşturur, kalıcılık için görevleri planlar ve belirli süreçleri izler.
Ayrıca, bir toplu beter (check.bat) Adlı bir yürütülebilir dosyayı indirir ProtonDrive.exe Dropbox’tan ve dizin altındaki gizli bir klasörde saklar C:\Users\user\AppData\Local\Programs\Proton\Drive.
Bu yürütülebilir ürün, Pyinstaller kullanan Triton Rat’ın derlenmiş bir versiyonudur. Daha sonra, kötü amaçlı yazılımların kullanıcı girişinde çalışmasını sağlamak için planlanan görevler oluşturulur.
Çalınan tüm veriler gerçek zamanlı olarak telgraf botuna eklenir. BOT ayrıca saldırganların tehlikeye atılan makinelere komutlar vermesine izin verir.
CADO Security Labs tarafından analiz sırasında, ilişkili telgraf kanalı 4.500’den fazla mesaj içeriyordu, ancak bunun enfekte olmuş sistemlerin sayısını yansıtıp yansıtmadığı belirsizliğini koruyor.
Triton Rat, kapsamlı yetenekleri ve C2 iletişimi için telgraf gibi yaygın olarak kullanılan platformlara güvenmesi nedeniyle önemli bir tehdidi temsil etmektedir.
Anti-analiz teknikleri kullanımı, güvenlik araçları tarafından tespiti daha da karmaşıklaştırmaktadır.
Protondrive yürütülebilir ve ilişkili karmalar gibi uzlaşma göstergeleri (IOC’ler), hafifletme çabalarına yardımcı olmak için tanımlanmıştır.
Kuruluşlara, telgraf botlarını içeren olağandışı faaliyetleri izlemeleri ve bu gelişen tehdide karşı korunmak için sağlam uç nokta koruma önlemleri uygulamaları tavsiye edilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!