Atroposia adı verilen yeni ve gelişmiş bir uzaktan erişim truva atı, yeraltı siber suç pazarlarında ortaya çıktı ve saldırganlara erişilebilir bir fiyat noktasında gizli uzak masaüstü erişimi, kimlik bilgileri hırsızlığı ve ağ manipülasyonu için kapsamlı bir araç seti sunuyor.
Varonis’teki güvenlik araştırmacıları yakın zamanda yer altı forumlarında tanıtılan kötü amaçlı yazılımı keşfettiler ve bu durum, gelişmiş siber saldırı yeteneklerinin, deneyimsiz suçluların bile karmaşık saldırılar başlatmasına olanak tanıyan kullanıcı dostu platformlara nasıl giderek daha fazla paketlendiğinin altını çizdi.
Atroposia, otomatik saldırı araçlarının genişleyen ekosisteminde SpamGPT ve MatrixPDF gibi yakın zamanda keşfedilen platformlara katılarak tak ve çalıştır suç araç kitlerindeki en son evrimi temsil ediyor.
SpamGPT, kimlik avı kampanyalarının oluşturulmasını, SMTP/IMAP kırmayı ve teslim edilebilirlik optimizasyonunu otomatikleştiren, esasen kötü amaçlı amaçlar için pazarlama sınıfı kampanya özelliklerini yeniden paketleyen, yapay zeka destekli bir hizmet olarak spam platformu olarak işlev görür.
MatrixPDF, e-posta güvenlik filtrelerinden kaçmak için tasarlanmış kaplamalar, yönlendirmeler ve gömülü eylemler ekleyerek sıradan PDF dosyalarını kimlik avı ve kötü amaçlı yazılımlara yönelik dağıtım mekanizmalarına dönüştüren, silahlı bir PDF oluşturucu olarak çalışır.
Bu modüler araç kitleri, keşif, teslimat ve kaçınma yeteneklerinin, gelişmiş saldırı tekniklerini minimum teknik beceriye sahip operatörlerin erişimine sunan sezgisel kontrol panellerinde nasıl birleştirildiğini gösteriyor.
Aylık yaklaşık 200 ABD Doları, üç ay için 500 ABD Doları veya altı ay için 900 ABD Doları olarak fiyatlandırılan Atroposia’nın uygun fiyatı ve kullanıcı dostu arayüzü, daha önce konuşlandırılması ciddi uzmanlık gerektiren güçlü saldırı yeteneklerine erişimi demokratikleştiriyor.
Kötü amaçlı yazılım, trafik inceleme sistemlerini alt etmek için şifreli komut ve kontrol sunucusu iletişimini kullanırken, UAC bypass yoluyla otomatik ayrıcalık yükseltmesi yönetici düzeyinde erişim sağlar.
Çoklu kalıcılık mekanizmaları, kötü amaçlı yazılımın sistem yeniden başlatmalarında hayatta kalmasını sağlayarak, Atroposia’nın güvenliği ihlal edilmiş sistemlere sorunsuz bir şekilde uyum sağlamasına, antivirüs yazılımı tarafından tespit edilmesini önlemesine ve kullanıcıları veya BT güvenlik ekiplerini uyarmadan uzun vadeli erişimi sürdürmesine olanak tanır.
Görünmez Sistem Kontrolü
Atroposia’nın en tehlikeli yetenekleri arasında, kurbanlara ekranda uzaktan kumanda göstergesi sağlamayan, tamamen görünmez uzak masaüstü oturumları oluşturan “HRDP Connect” markalı gizli uzak masaüstü özelliği yer alıyor.
Bu düzeydeki kontrol, bir davetsiz misafirin, kullanıcı iş istasyonlarındaki veya ağ paylaşımlarındaki belgeleri, kaynak kodlarını veya veritabanlarını sessizce tarayabileceği anlamına gelir. Atroposia’nın veri hırsızlığı araçları, bilgileri dosyasız ve toplu olarak sızdırmak için tasarlanmıştır.
Kötü amaçlı yazılım, arka planda gizli bir masaüstü oturumu (aslında görünmez bir gölge oturum açma) oluşturur; bu oturum, meşru kullanıcı izinsiz girişten tamamen habersiz kalırken, saldırganların ele geçirilen sistemle tam ayrıcalıklarla etkileşim kurmasına olanak tanır.
Bu gizli RDP yeteneği, davetsiz misafirlerin kullanıcı faaliyetlerini gerçek zamanlı olarak gözetlemelerine veya kimliği doğrulanmış oturumları tespit edilmeden ele geçirmelerine olanak tanır.
Saldırganlar, sanki meşru kullanıcıymış gibi uygulamaları açma, hassas belgeleri veya e-postaları görüntüleme ve iş akışlarını değiştirme becerisine sahip olur; bu da masaüstündeki sessiz bir adam varlığı yoluyla çalışan oturumu bütünlüğünü temelden zayıflatır.
Geleneksel uzaktan erişim izleme sistemleri bile, standart uzak masaüstü bildirimlerini ve oturum açmış kullanıcı istemlerini atlatarak saldırganların kullanıcının kendi oturumu kisvesi altında casusluk ve veri hırsızlığı operasyonları yürütmesine olanak tanıdığı için HRDP etkinliğini tespit etmekte başarısız olabilir.
Atroposia, sürücü ve dizinlerin kaşif benzeri bir görünümünü sunan yerleşik bir dosya yöneticisi aracılığıyla saldırganlara kapsamlı uzaktan dosya sistemi erişimi sağlar. Bu işlevsellik, dizinlere uzaktan göz atılmasını, hassas dosyaların aranmasını, verilerin indirilmesini veya silinmesini ve kurban makinelerde dosyaların yürütülmesini sağlar.
Kötü amaçlı yazılımın özel Grabber modülü, dosyaları (tüm PDF’ler veya CSV dosyaları gibi) uzantıya veya anahtar kelimeye göre otomatik olarak arayabilir ve bunları dışarı sızmak için parola korumalı arşivlere sıkıştırabilir.
Atroposia, verileri bellekte paketleyip çıkararak ve meşru sistem araçlarından yararlanarak, diskteki ayak izini en aza indirir ve geleneksel veri kaybı önleme sistemleri için minimum iz bırakan dosyasız sızma tekniklerini etkili bir şekilde uygular.
Özel bir çalma modülü, kayıtlı oturum açma bilgilerini, kripto para birimi cüzdanlarını ve mesajlaşma uygulaması dosyalarını hedefler; kurumsal uygulamalara yönelik kimlik bilgileri, sanal özel ağlar ve parola yöneticileri, daha fazla ağ penetrasyonu için ana hedefler olarak hizmet eder.
Ağ Düzeyinde Manipülasyon
Atroposia, uç nokta veri hırsızlığının ötesinde, saldırganların virüslü sistemlerin DNS sorgularını keyfi olarak yeniden yönlendirmesine olanak tanıyan bir DNS ele geçirme modülü aracılığıyla ağ trafiğini aktif olarak yönetir.
Operatörler meşru alanlara sahte IP adresleri atayabilir ve kurbanın makinesinin belirli alanlara ulaşma girişimlerinin sessizce saldırgan tarafından kontrol edilen sunuculara yönlendirilmesine neden olabilir.
Bu özellik, kimlik avı ve ortadaki adam saldırılarına yönelik yolları açarak, saldırganların kurumsal oturum açma portallarını, URL’ler tarayıcılarda doğru görünürken kimlik bilgilerini yakalayan benzer kötü amaçlı sitelere yönlendirmesine olanak tanır.
Atroposia, ana bilgisayar düzeyinde DNS’yi ele geçirerek harici DNS korumalarını atlıyor ve kurbanları hileli sunuculara yönlendirerek HTTPS bağlantılarını bile tehlikeye atıyor.
Bu teknik, sahte yazılım güncellemeleri dağıtabilir, kötü amaçlı içerik ekleyebilir veya DNS tünelleri aracılığıyla veri sızdırabilir. Kötü amaçlı yazılım aynı zamanda kullanıcıların panolarını gerçek zamanlı olarak izleyerek, parolalar, API anahtarları, kaynak kodu parçacıkları ve gizli mesajlar da dahil olmak üzere ele geçirilen makinelerde kopyalanan veya kesilen her şeyi yakalıyor.
Yerleşik bir güvenlik açığı tarayıcı modülü, Atroposia’nın ilk güvenlik ihlali sonrasında yerel güvenlik denetimleri gerçekleştirmesine, eksik yamaları, güvenli olmayan yapılandırmaları ve savunmasız yazılım sürümlerini listelemesine olanak tanır.
Bu keşif, saldırganlara kurumsal ortamlardaki sömürülebilir zayıflıklara ilişkin bir yol haritası sağlayarak, potansiyel olarak eski VPN istemcilerini veya tutunma noktalarını derinleştirebilecek yamalanmamış ayrıcalık yükseltme güvenlik açıklarını ortaya çıkarır.
Modüler eklenti mimarisi, saldırganların hedeflenen operasyonları gerçekleştirirken gizliliği korumak için yalnızca ihtiyaç duyulan belirli işlevleri dağıtmasına olanak tanır.
Atroposia’nın SpamGPT ve MatrixPDF ile birlikte ortaya çıkışı, siber suçların, gelişmiş saldırı yeteneklerinin artık teknik uzmanlık gerektirmediği, yalnızca yeraltı pazarlarına finansal erişim gerektirdiği bir hizmet sektörüne dönüştüğünü gösteriyor.
Gelişmiş saldırı araçlarının bu şekilde demokratikleştirilmesi, tehdit ortamında temel bir değişimi temsil ediyor; potansiyel saldırgan havuzunu genişletiyor ve kurumsal ortamlara yönelik karmaşık siber saldırılara giriş engellerini azaltıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.