Yakın zamanda tanımlanmış bir uzaktan erişim Trojan (RAT), Discord API’sının bir komut ve kontrol (C2) sunucusu olarak yenilikçi kullanımı nedeniyle siber güvenlik topluluğu içinde alarmlar yükseltti.
Bu Python tabanlı kötü amaçlı yazılım, komutları yürütmek, hassas bilgileri çalmak ve hem yerel makineleri hem de anlaşmazlık sunucularını değiştirmek için Discord’un kapsamlı kullanıcı tabanını kullanır.
Bot başlatma ve işlevsellik
Sıçan, tüm mesajları okumasını ve önceden tanımlanmış kötü amaçlı komutları yürütmesini sağlayan yüksek izinlerle bir anlaşmazlık botunu başlatarak çalışır.
Botun sert kodlu jetonu önemli bir güvenlik açığı oluşturur ve onu yetkisiz erişime duyarlı hale getirir.
Mesaj içeriği niyetini kullanarak, sıçan kullanıcı mesajlarını yakalarken, Google Chrome’un yerel veritabanından depolanmış şifreleri çıkarma yeteneği özellikle ilgilenir.
Çalıntı kimlik bilgileri doğrudan saldırgana uyumsuzluk yoluyla gönderilir ve kötü amaçlı yazılımların kimlik hırsızlığındaki etkinliğini artırır.
Kimlik bilgilerini çalmaya ek olarak, sıçan saldırganlara arka kapı kabuğu erişimi sağlar ve kurbanın sisteminde keyfi komutlar yürütmelerini sağlar.
Bu komutların sonuçları, uzlaşmış makineler üzerinde tam kontrol sağlayarak uyumsuzluk yoluyla geri döner.
Ayrıca, sıçan MSS kütüphanesini kullanarak kurbanın ekranının ekran görüntülerini alabilir ve gözetim yeteneklerini önemli ölçüde artırabilir.
Kalıcılık mekanizmaları ve sunucu manipülasyonu
Rapora göre, sıçan, manuel olarak sonlandırılmadıkça botu aktif tutan otomatik yeniden bağlantı özelliği de dahil olmak üzere çeşitli kalıcılık mekanizmaları içeriyor.
Kanalları silerek ve yeniden yaratarak anlaşmazlık sunucularını manipüle edebilir, bu da uzlaşmış ortam üzerinde sürekli erişim ve kontrol sağlar.
Saldırganlar ayrıca sistem yeniden başlatmalarında kalıcılığı korumak için başlangıç kayıt defteri ayarlarını değiştirebilir.
Ortaya çıkan bu tehditle mücadele etmek için, siber güvenlik profesyonellerine antivirüs çözümleri ve uç nokta algılama sistemleri gibi sağlam uç nokta güvenlik önlemleri uygulamaları tavsiye edilir.
Uyuşmazlık ile ilgili şüpheli faaliyetler için ağ trafiğinin izlenmesi, kullanıcıları doğrulanmamış botları indirme riskleri konusunda eğitmek de esastır.
Kuruluşlar, yetkisiz bot yürütme ile ilişkili riskleri azaltmak için kurumsal ortamlarda uyumsuzluk kullanımını kısıtlamayı veya yakından izlemeyi düşünmelidir.
Bu analizin sonuçları, siber suçlular, kötü niyetli amaçlar için uyumsuzluk gibi güvenilir platformlardan giderek daha fazla yararlanarak gelişmiş güvenlik protokollerine acil ihtiyacın altını çizmektedir.
Proaktif savunmalar, yetkisiz erişimi önlemede ve bu saldırılardan elde edilen olası hasarı en aza indirmede kritik olacaktır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.