Sorillus uzaktan erişim Truva atı (sıçan), İspanya, Portekiz, İtalya, Fransa, Belçika ve Hollanda’daki işletmeleri hedefleyen çok dilli bir kimlik avı kampanyasında önde gelen bir silah olarak ortaya çıktığında, Avrupa örgütleri sofistike bir siber tehditle karşı karşıya.
Sambaspy takma adı altında da tanımlanan kötü amaçlı yazılım, geleneksel güvenlik önlemlerinden kaçınmak için meşru bulut hizmetlerinden yararlanan sınır ötesi siber suç operasyonlarında ilgili bir evrimi temsil etmektedir.
Mart 2025’te önemli bir ivme kazanan tehdit kampanyası, erişimini ve etkinliğini en üst düzeye çıkarmak için birden fazla Avrupa dilinde stratejik olarak hazırlanmış birincil saldırı vektörü olarak fatura temalı kimlik avı e-postalarını kullanıyor.
.png
)
Sofistike operasyon, bölgesel iş uygulamalarının net bir şekilde anlaşılmasını göstermektedir, saldırganlar yerel küçük ve orta ölçekli işletmelerden güvenilirlik ve ilk güvenlik filtrelerini atlamak için uzlaşmış alanları kullanır.
Turuncu CyberDefense analistleri, rutin tehdit izleme faaliyetleri sırasında bu kötü niyetli kümeyi belirledi, tespitten kaçınırken kalıcı komuta ve kontrol iletişimini sürdürmek için ngrok, localto.net ve ply.gg gibi popüler tünel hizmetlerini kullanan karmaşık bir enfeksiyon zincirini ortaya çıkardı.
Araştırma ekibinin soruşturması, bu kampanyanın arkasındaki tehdit aktörlerinin, taktiklerini özellikle Avrupa hedefleri için uyarlayan Brezilya konuşan siber suçlular olduğunu ortaya koydu.
Sorillus sıçanının kendisi, 2019’dan Ocak 2025’e kadar, resmi altyapının parçalandığı, potansiyel olarak FBI Operasyon Yeteneği ile bağlantılı olarak ticari olarak mevcut olan olgun bir Hizmet Olarak Kötü Yazılım Teklifini temsil ediyor.
.webp)
Bu yayından kaldırmaya rağmen, çok sayıda çatlak versiyona yeraltı kanalları aracılığıyla yaygın olarak erişilebilir ve kötü amaçlı yazılımların değişen sofistike seviyelere sahip aktörleri tehdit etmek için sürekli kullanılabilirliği sağlıyor.
Bulut hizmetlerinden yararlanan gelişmiş enfeksiyon zinciri
Sorillus kampanyası tarafından kullanılan enfeksiyon mekanizması, meşru bulut platformlarını kötüye kullanmasında dikkate değer bir teknik karmaşıklık göstermektedir.
.webp)
Saldırı, faturalar olarak maskelenen PDF ekleri içeren özenle hazırlanmış kimlik avı e -postalarıyla başlar ve hedefin dil tercihlerine uyacak şekilde “facturat.pdf” gibi dosya adları ile başlar.
Bu PDF’ler, etkinleştirildiğinde, mağdurları meşru iş belgeleri olarak görünecek şekilde tasarlanmış onedrive barındıran içeriğe yönlendiren gömülü akış nesneleri içerir.
OneDrive açılış sayfası, kullanıcılara enfeksiyon zincirinde kritik pivot noktası görevi gören belirgin bir “Belgeyi Aç” düğmesine sahip görünür bir PDF belgesi sunar.
Bu düğmeyi tıkladıktan sonra, kurbanlar, gerçek zamanlı kurban profili gerçekleştirebilen sofistike trafik dağıtım sistemleri olarak işlev gören NGROK Ters Proxy Hizmetleri’nin arkasında barındırılan kötü amaçlı web sunucularına yönlendirilir.
Sunucu, kötü amaçlı yazılım sunumuna devam edip etmeyeceğini veya iyi huylu içeriğe yönlendirmeyi, güvenlik araştırmacılarını ve otomatik analiz sistemlerini etkili bir şekilde filtreleyip yönlendirmeyeceğini belirlemek için kurbanın tarayıcı yapılandırması ve dil ayarları üzerinde otomatik kontroller yapar.
.webp){kind=spacer}
Doğrulama süreci başarılı olduğunda, sistem otomatik olarak Mediafire’dan bir jar dosyasını indirir ve genellikle şüphe etmek için “1741159637278.png” gibi zararsız dosya adlarıyla gizlenir.
Teslim edilen jar dosyası, Windows kayıt defteri değişiklikleri aracılığıyla kalıcılık oluşturan ve ek tünel hizmetlerinin arkasında barındırılan sunucularla komut ve kontrol iletişimini başlatan Sorillus sıçan yükünü içerir.
“Checksum” adlı bir kaynak olarak gömülü kötü amaçlı yazılım yapılandırması, AES ECB şifrelemesi kullanılarak şifre çözülür ve tipik olarak localtonet veya playit.gg tünel proxy’leri için bağlantı detayları içerir ve yayından kaldırma çabalarına hızla uyum sağlayabilen esnek iletişim kanalları sağlar.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin