Siber güvenlik araştırmacıları, Rust tabanlı yeni bir arka kapının ayrıntılarını açıkladı. KaosBot Bu, operatörlerin güvenliği ihlal edilmiş ana bilgisayarlar üzerinde keşif yapmasına ve keyfi komutlar yürütmesine olanak tanıyabilir.
Geçen hafta yayınlanan bir teknik raporda eSentire, “Tehdit aktörleri, hem Cisco VPN hem de ‘serviceaccount’ adlı aşırı ayrıcalıklı bir Active Directory hesabıyla eşlenen, güvenliği ihlal edilmiş kimlik bilgilerinden yararlandı” dedi. “Ele geçirilen hesabı kullanarak, ağdaki sistemlerde uzaktan komutları yürütmek için WMI’dan yararlandılar ve ChaosBot’un dağıtımını ve yürütülmesini kolaylaştırdılar.”
Kanadalı siber güvenlik şirketi, kötü amaçlı yazılımı ilk olarak Eylül 2025’in sonlarında bir finansal hizmetler müşterisinin ortamında tespit ettiğini söyledi.
KaosBot Discord’u komuta ve kontrol amacıyla kötüye kullanması dikkat çekicidir (C2). Adını, çevrimiçi “chaos_00019” takma adıyla anılan ve virüslü cihazlara uzaktan komutlar vermekten sorumlu olan, arkasındaki tehdit aktörünün sürdürdüğü Discord profilinden alıyor. C2 operasyonlarıyla ilişkili ikinci bir Discord kullanıcı hesabı ise lovebb0024’tür.
Alternatif olarak kötü amaçlı yazılımın, dağıtım vektörü olarak kötü amaçlı bir Windows kısayol (LNK) dosyası içeren kimlik avı mesajlarına güvendiği de gözlemlendi. Mesaj alıcısının LNK dosyasını açması durumunda, ChaosBot’u indirmek ve çalıştırmak için bir PowerShell komutu yürütülürken, Vietnam Devlet Bankası’ndan gelen meşru yazışmalar gibi görünen sahte bir PDF, dikkat dağıtma mekanizması olarak görüntülenir.
Yük, “identity_helper.exe” adı verilen Microsoft Edge ikili dosyası kullanılarak dışarıdan yüklenen kötü amaçlı bir DLL (“msedge_elf.dll”) olup, ardından sistem keşfi gerçekleştirir ve ağa bir ters proxy açmak ve güvenliği ihlal edilen ağa kalıcı erişimi sürdürmek için hızlı bir ters proxy (FRP) indirir.
Tehdit aktörlerinin, komut yürütme özelliklerini etkinleştirmek için ek bir arka kapı görevi görecek bir Visual Studio Code Tunnel hizmetini başarısız bir şekilde yapılandırmak için kötü amaçlı yazılımdan yararlandıkları da tespit edildi. Ancak kötü amaçlı yazılımın birincil işlevi, daha fazla talimat almak için operatör tarafından oluşturulan Discord kanalıyla kurbanın bilgisayar adıyla etkileşim kurmaktır.
Desteklenen komutlardan bazıları aşağıda listelenmiştir:
- kabuk, PowerShell aracılığıyla kabuk komutlarını yürütmek için
- scr, ekran görüntüleri yakalamak için
- indirme, dosyaları kurbanın cihazına indirme
- Upload, Discord kanalına bir dosya yüklemek için
“ChaosBot’un yeni çeşitleri ETW’yi atlatmak için kaçınma tekniklerinden yararlanıyor [Event Tracing for Windows] ve sanal makineler,” dedi eSentire.
“İlk teknik, ntdll!EtwEventWrite’ın (xor eax, eax -> ret) ilk birkaç talimatının yamasını içerir. İkinci teknik, sistemin MAC adreslerini VMware ve VirtualBox için bilinen Sanal Makine MAC adresi önekleriyle karşılaştırır. Bir eşleşme bulunursa, kötü amaçlı yazılım çıkar.”
Kaos Fidye Yazılımı Yıkıcı ve Panoyu Ele Geçirme Özellikleri Kazanıyor
Fortinet FortiGuard Labs, büyük dosyaları şifrelemek yerine geri dönülemez bir şekilde silmek ve kripto para transferlerini yeniden yönlendirmek için Bitcoin adreslerini saldırgan kontrollü bir cüzdanla değiştirerek pano içeriğini değiştirmek için yeni yıkıcı yetenekler sunan, C++ dilinde yazılmış Kaos’un yeni bir fidye yazılımı varyantını ayrıntılı olarak açıkladı.
Şirket, “Yıkıcı şifreleme ve gizli finansal hırsızlıktan oluşan bu ikili strateji, Kaos’un finansal kazancı en üst düzeye çıkarmak için tasarlanmış daha agresif ve çok yönlü bir tehdide dönüştüğünün altını çiziyor” dedi.
Saldırganlar, kripto para birimi hırsızlığı için yıkıcı gasp taktikleri ve pano ele geçirme yöntemlerini birleştirerek, Chaos-C++ fidye yazılımını yalnızca dosyaları şifrelemekle kalmayıp aynı zamanda 1,3 GB’tan büyük herhangi bir dosyanın içeriğini silip mali dolandırıcılığı kolaylaştıran güçlü bir araç olarak konumlandırmayı hedefliyor.
Kaos-C++ Fidye yazılımı indiricisi, kullanıcıları bunları yüklemeleri için kandırmak amacıyla System Optimizer v2.1 gibi sahte yardımcı programlar gibi davranır. Lucky_Gh0$t gibi Chaos fidye yazılımının önceki versiyonlarının OpenAI ChatGPT ve InVideo AI kisvesi altında dağıtıldığını burada belirtmekte fayda var.
Kötü amaçlı yazılım başlatıldığında, “%APPDATA%\READ_IT.txt” adlı bir dosyanın varlığını kontrol eder ve bu, fidye yazılımının makinede zaten yürütülmüş olduğunu gösterir. Dosya mevcutsa, sistem panosundaki sekmeleri tutmak için izleme moduna girer.
Dosyanın mevcut olmaması durumunda, Chaos-C++, yönetici ayrıcalıklarıyla çalışıp çalışmadığını kontrol eder ve öyleyse, sistem kurtarmayı engellemek için bir dizi komut çalıştırmaya devam eder ve ardından, muhtemelen verimlilik nedeniyle, dosya boyutu 50 MB ile 1,3 GB arasında olan dosyaları atlarken, 50 MB’ın altındaki dosyaları tamamen şifrelemek için şifreleme işlemini başlatır.
Fortinet, “Chaos-C++, yalnızca tam dosya şifrelemesine güvenmek yerine, simetrik veya asimetrik şifreleme ve geri dönüş XOR rutini de dahil olmak üzere çeşitli yöntemlerin bir kombinasyonunu kullanıyor” dedi. “Çok yönlü indiricisi aynı zamanda başarılı bir yürütmeyi de garanti ediyor. Bu yaklaşımlar birlikte fidye yazılımının yürütülmesini daha sağlam ve kesintiye uğratılması daha zor hale getiriyor.”