DRAT V2 olarak adlandırılan DRAT Uzaktan Access Trojan’ın (RAT) yeni bir varyantı, Hindistan hükümet kuruluşlarını hedefleyen bir TAG-140 kampanyasının bir parçası olarak ortaya çıktı.
Sepet ile örtüştüğüne ve şeffaf kabile (AKA APT36) ile bağlantılı olduğuna inanılan bu tehdit oyuncusu, kötü amaçlı yazılım cephaneliğini geliştirmenin tutarlı bir modelini göstermektedir.
TAG-140, kötü amaçlı yazılım cephaneliğini geliştirir
Hindistan Savunma Bakanlığı’nı klonlanmış bir basın bülteni portalı aracılığıyla taklit eden en son kampanya, kötü amaçlı yazılım mimarisinde, .NET tabanlı bir DRAT’dan Delphi tarafından derlenmiş bir DRAT V2’ye geçiş ve güncellenmiş bir komut ve kontrol (C2) protokolü ve geliştirilmiş erteleme sonrası özelliklerle birlikte bir kaymayı sergiliyor.
.png
)
Bu gelişme, özellikle Hindistan’ın savunma ve devlet sektörlerini özel sosyal mühendislik ve teknik karmaşıklığa sahip hedeflemede TAG-140’ın olgunlaşan tradecraft’ın altını çizmektedir.
DRAT V2, öncekisi, en önemlisi, ASCII ve Unicode komutu girişlerini destekleyen, akıcı iletişim için sadece ASCII-Yanıtları korurken yenilenmiş bir özel TCP tabanlı, sunucu tarafından başlatılan C2 protokolü üzerinde önemli güncellemeler sunar.
Bu varyantın göze çarpan bir özelliği, “exec_this_comm” komutunun eklenmesidir ve güvenliği ihlal edilmiş ana bilgisayarlarda keyfi kabuk komutu yürütülmesini sağlar.
Kaydedilen Gelecek Raporuna göre, bu özellik, kullanıcı adları, işletim sistemi sürümleri ve çalışma dizinleri gibi sistem keşiflerini toplama ayrıntılarından yük evrelemesi veya veri söndürme için dosya transferine kadar gerçek zamanlı, etkileşimli, etkileşimli, etkileşimli, etkileşimli esneklik için eşi görülmemiş esneklik sağlar.
Gelişmiş C2 Protokolü
Ayrıca, DRAT V2, IP adreslerini Base64 ile kodlayarak ve analistler tarafından doğrudan kod çözmeyi engellemek için tasarlanmış bir taktik olan benzersiz dizeler hazırlayarak C2 şaşkınlığını geliştirir.
String gizlemesine büyük ölçüde dayanan orijinal DRAT’ın aksine, DRAT V2, komut başlıklarının çoğunu düz metin olarak tutarak güvenilirliğe öncelik verir ve gizli ve operasyonel verimlilik arasında stratejik bir dengeyi yansıtır.
Hint Savunma Bakanlığı’nı ClickFix tarzı bir sosyal mühendislik lüre ile başlatılan kötü amaçlı yazılım enfeksiyon zinciri, kayıt defteri çalışma anahtarları (HKCU \ Software \ Microsoft \ Windows \ Currentersion \ run) aracılığıyla kalıcılık oluşturmak için Broaderaspect .NET yükleyicisini kullanır ve son Delphi tabanlı yükü yürütür.
Gelişmelerine rağmen, DRAT V2, temel enfeksiyon ve kalıcılık yöntemlerine dayanarak, nadir TCP portları (örn., 3232, 6372, 7771) veya kodlanmış trafik modelleri gibi spesifik göstergeler için izlendiğinde statik ve davranışsal analiz yoluyla tespit edilebilir hale getiren sofistike anti-analiz tekniklerinden yoksundur.
TAG-140, Curlback, Sparkrat ve Allakore DRAT V2 gibi araçlar da dahil olmak üzere sıçan portföyünü çeşitlendirmeye devam ettikçe, tam bir revizyondan ziyade modüler bir eklemeyi temsil eder, bu da grubun tespitten kaçınmak için kötü amaçlı yazılım varyantlarını döndüreceğini düşündürmektedir.
Güvenlik ekiplerinin, TAG-140’ın gelişen taktiklerine görünürlüğü korumak için belirli kötü amaçlı yazılım imzaları yerine spearphing altyapısı, yükleyici yeniden kullanımı ve davranışsal göstergeleri izlemeye odaklanmaları tavsiye edilir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| DAT V2 SHA256 | CE98542131598B7AF5D8AA546EFE8C3A9762FB70BFFFF4574227ECAED7FFFF8802 |
| DAT V2 SHA256 | 0D680123008E41C6327EB73A33F4FB657C4E051E0D40A3EF9FC8992ED316 |
| DAT V2 SHA256 | C73D278F7C30F8394AB2ECBFF8F646F10DCFF1C617E1583C127E70C871E6F8B7 |
| Drat SHA256 | 830CD96ABA6C328B1421BFF64CAA2B64F9E24D72C7118F9D7CAC296E1BF13D |
| Drat SHA256 | C328Cec5D6062F20098B7680FAB4AC311AFAF805CA43C487CDA43498479E60 |
| DRAT V2 C2 | 185.117.90.212:7771, 154.38.175.83:3232, 178.18.248.36:6372 |
| DAT C2 | 38.242.149.89:61101 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin