Duplexspy adlı yeni bir uzaktan erişim Trojan (sıçan) ortaya çıktı ve dünya çapında Windows tabanlı sistemler için önemli bir tehdit oluşturdu.
GitHub kullanıcısının ISSAC/ISS4CF0NG tarafından C# ‘da geliştirilen ve 15 Nisan 2025’te “eğitim amaçlı” bir niyeti ile halka açık bir şekilde piyasaya sürülen bu çok fonksiyonlu kötü amaçlı yazılım, saldırganlara uzlaştırılmış makineler üzerinde benzeri görülmemiş kontrol sunar.
Sofistike tehdit modüler yeteneklerle ortaya çıkıyor
Kullanıcı dostu bir GUI üreticisi ve kapsamlı özelleştirme seçenekleriyle Duplexspy, siber suçlular için teknik engeli düşürür ve acemilerin bile özel saldırılar yaratmasını sağlar.
.png
)
Sofistike tasarımı, kalıcılık mekanizmaları, gizli yürütme ve bir dizi gözetim aracı içerir, bu da onu kötü niyetli aktörlerin elinde güçlü bir silah haline getirir.
Tehdit aktörleri yeteneklerini kolayca adapte edip geliştirebileceğinden, aletin açık kaynaklı doğası, çeşitli saldırı zincirlerinde yaygın kötüye kullanım riskini artırır.
Duplexspy Rat, kalıcılığı sağlamak ve algılamayı sağlamak için gelişmiş teknikler kullanır, başlangıç klasörüne kopyalayarak ve HKEY_CURrent_user \ Microsoft \ Windows \ \ \ currentersion \ run altındaki Windows kayıt defterini değiştirerek “Windows Update” gibi meşru süreçleri taklit eder.
Cyfirma Report’a göre, konut içi yükleme ve kendini yok etme yöntemleri aracılığıyla, geleneksel antivirüs çözümlerini engellemek için yürütüldükten sonra izlerini silerek, everis içi yükleme ve kendini yok etme yöntemleri yoluyla evlatsız yürütme kullanıyor.
Çekirdekte sistem bozulması
Kötü amaçlı yazılımların cephaneliği, gerçek zamanlı ekran izleme, web kamerası ve ses gözetimi ve etkileşimli komut yürütme için uzak bir sunucuya eksfiltration için bir geçici klasör dosyasında (keylogger.rtf) (tuş vuruşlarını yakalama ve bunları bir geçici klasör dosyasında (keylogger.rtf) saklama ve etkileşimli komut yürütme için uzak kabuk erişimi içerir.
Ek olarak, anti-analiz taktikleri, güvenlik süreçlerini sonlandırma ve kullanıcıları yanıltmak için bozuk bir user32.dll hakkında sahte hata mesajları sergileme bulunur.
Sıçanın UAC istemleri yoluyla ayrıcalık artışı, gizli kod yürütme için DLL enjeksiyonu ve komut ve kontrol (C2) sunucuları ile güvenli iletişim için AES ve RSA kullanan kriptografik işlemler, tespit edilmemiş çalıştırma yeteneğini daha da geliştirir.
Gözetim ötesinde, duplexspy, kapanma veya uyku gibi güç kontrol komutları yoluyla sistemleri bozabilir, fare fonksiyonlarını manipüle edebilir, psikolojik taktikler için ses çalabilir ve sahte kilit ekranlarını kurbanlara zorlayarak kapsamlı bir saldırı aracı olarak çok yönlülüğünü gösterebilir.
Ağ keşif yetenekleri, saldırganların aktif TCP bağlantılarını haritalamasına, açık hizmetleri veya dahili kaynakları belirlemelerine izin verirken, kayıt defteri manipülasyonu ve süreçleri askıya alma veya öldürme gibi süreç kontrolü gizli ve kalıcılığın korunmasına yardımcı olur.
Dinamik analiz, sürekli C2 iletişimi için TCP bağlantıları oluşturan kötü amaçlı yazılımları (genellikle 5000 gibi yapılandırılabilir bağlantı noktaları yoluyla) ortaya koyar ve gerçek zamanlı sohbet arayüzleri, saldırganların doğrudan kontrolü sürdürmesini sağlar.
Eğitim feragatnamesine rağmen, uzaktan eklentiler ve gelişmiş istikrar planları da dahil olmak üzere devam eden geliştirme yol haritası, artan bir tehdit manzarasına işaret ediyor.
Siber güvenlik ekipleri, tehdit istihbarat liderliğindeki programları benimsemeye, bellek taramasıyla EDR/XDR araçlarını dağıtmaya ve anomaliler için kayıt defteri ve ağ etkinliğini izlemeye çağırılır.
Bilinen uzlaşma göstergelerini engellemek (IOC’ler) ve beklenmedik UAC istemleri veya sahte sistem uyarıları gibi şüpheli davranışlar hakkında kullanıcı farkındalığını artırmak, duplexspy sıçanının ortaya koyduğu bu gelişen tehlikeyi azaltmada kritik adımlardır.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Tip | Notlar |
|---|---|---|
| 2C1ABD6BC9FACE420235E5776B3EAA3FC79514CF033307F64831362B721 | Sha-256 | Duplexspycs.exe |
| AB036C442800D2D71A3BAA9F2D6B27E3813B9F740D7C3E7635B8E3E37A8D66A | Sha-256 | client.exe |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun