GravityRAT, 2016’dan bu yana devlet kurumlarını ve askeri kuruluşları hedef alan bir uzaktan erişim truva atıdır.
Bu kötü amaçlı yazılım, yalnızca Windows’a yönelik bir tehdit olarak ortaya çıktı ancak Windows, Android ve macOS sistemlerine saldırabilen platformlar arası bir araca dönüştü. Kötü amaçlı yazılım yayılmak için sahte uygulamalar ve aldatıcı e-postalar kullanıyor ve bu da normal kullanıcıların tehlikeyi fark etmesini zorlaştırıyor.
Kötü amaçlı yazılım, mesajlaşma uygulamaları veya dosya paylaşım araçları gibi yasal yazılımlar gibi görünerek çalışır. Birisi bu sahte uygulamaları indirip açtığında, GravityRAT kendisini gizlice cihazına yükler.
Kötü amaçlı yazılım daha sonra belgeler, fotoğraflar, mesajlar ve WhatsApp yedeklemeleri dahil olmak üzere hassas bilgileri toplamaya başlar. Çalınan bu veriler, kötü amaçlı yazılımı uzak sunuculardan kontrol eden bilgisayar korsanlarına gönderilir.
Any.Run analistleri, GravityRAT’ın güvenlik araçlarına yakalanmamak için akıllı hileler kullandığını tespit etti. Kötü amaçlı yazılım, bilgisayarın CPU sıcaklığını ölçerek bir güvenlik testi ortamında çalışıp çalışmadığını kontrol eder.
Çoğu güvenlik testi sistemi sıcaklık değerlerini bildiremez; dolayısıyla kötü amaçlı yazılım ne zaman analiz edildiğini bilir ve gerçek davranışını gizlemek için çalışmayı bırakır.
Tehdit esas olarak Hindistan hükümeti çalışanlarını, askeri personeli ve savunma yüklenicilerini hedef alsa da eğitim kurumlarına ve işletmelere de saldırıyor.
2016 ile 2018 yılları arasında Hindistan’da savunma ve polis personeli arasında yaklaşık 100 enfeksiyon bildirildi. 2022’den 2024’e kadar olan son saldırılar, bilgisayar korsanlarının aktif kaldığını ve yöntemlerini geliştirmeye devam ettiğini gösteriyor.
Gelişmiş Kaçınma Teknikleri
GravityRAT, güvenlik sistemlerinden kaçma yeteneğiyle dikkat çekiyor. Kötü amaçlı yazılım, gerçek bir bilgisayarda mı yoksa sanal bir test ortamında mı çalıştığını belirlemek için yedi kontrol gerçekleştirir.
Bu kontroller, bilgisayarın BIOS sürümünün incelenmesini, sanallaştırma yazılımının kanıtlarının aranmasını, CPU çekirdeği sayısının sayılmasını ve sanal sistemlerle ilişkili MAC adreslerinin doğrulanmasını içerir.
.webp)
En etkili yaklaşım, sıcaklığı kontrol etmek için Windows Yönetim Araçlarını kullanmaktır. Kötü amaçlı yazılım, CPU sıcaklık değerlerini almak için MSAcpi_ThermalZoneTemperature girişini sorgular.
Hyper-V, VMware Fusion, VirtualBox, KVM ve Xen gibi popüler sanallaştırma platformları bu özelliği desteklemez ve bu nedenle hata mesajları verir.
GravityRAT bu hatalarla karşılaştığında test edildiğini algılar ve zararlı kodunu açığa çıkarmadan kapanır.
Bu, güvenlik araştırmacılarının kötü amaçlı yazılımı standart araçları kullanarak incelemesini çok zorlaştırıyor.
Kötü amaçlı yazılım, gerçek bir sistemde olduğunu doğruladıktan sonra, sistem başlangıcında otomatik olarak çalışacak şekilde zamanlanmış görevler oluşturur. Bu, kötü amaçlı yazılımın virüslü cihaza uzun vadeli erişimini sağlar.
GravityRAT, Android cihazlarda kendisini “Speak Freely”, “BingeChat” veya “Chatico” gibi güvenli mesajlaşma sunduğunu iddia eden uygulamalar olarak gizler.
Bu sahte uygulamalar, SIM kart ayrıntıları, SMS mesajları, arama kayıtları ve .jpg, .pdf ve .txt gibi uzantılara sahip dosyalar dahil olmak üzere telefon verilerini toplar.
.webp)
Çalınan bilgiler ZIP dosyalarında paketleniyor ve şifrelenmiş HTTPS bağlantıları aracılığıyla komuta ve kontrol sunucularına aktarılıyor.
Bilgisayar korsanları, virüslü tüm cihazları tek bir yerden yönetmek için GravityAdmin adlı bir araç kullanıyor ve FOXTROT, CLOUDINFINITY ve CHATICO gibi kod adlarıyla birden fazla saldırı kampanyasını kontrol etmelerine olanak tanıyor. Bu organize yaklaşım, GravityRAT’ın açık hedeflere ve kaynaklara sahip yetenekli gruplar tarafından işletildiğini göstermektedir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
