Mart 2025’te Orange CyberDense’in Belçika’daki yönetilen tehdit algılama ekipleri tarafından keşfedilen önemli bir gelişme, bir Avrupalı müşterinin Sorillus Remote Access Trojan’ı (sıçan) kullanan kötü niyetli bir enfeksiyon zincirinin konusu olmasıydı.
Turuncu CyberDefense Cert tarafından yapılan daha ileri analizler, İspanya, Portekiz, İtalya, Fransa, Belçika ve Hollanda’daki kuruluşları etkileyen daha geniş bir kampanya ortaya koydu.
Mayıs 2025’in başlarında Fortinet tarafından “Ratty Rat” olarak adlandırılan bu operasyon, ilk erişim vektörü olarak fatura temalı kimlik avı e-postalarını kullanıyor ve Sorillus Rat’ı 2019’da tanımlanan Java tabanlı bir kötü amaçlı yazılım yükleyen kötü amaçlı bir jar dosyası sunuyor.
.png
)
Kampanya, sosyal mühendislik ve teknik sofistike stratejik bir karışım sergileyerek, kötü niyetli trafiğini gizlemek ve tespit etmek için NGROK ve Localtonet gibi OneDrive, Mediafire ve tünel platformları gibi meşru hizmetlerden yararlanıyor.
Enfeksiyon zincirinin teknik diseksiyonu
Enfeksiyon zinciri, genellikle bir İspanyol KOBİ’si e -posta adresi gibi tehlikeye atılan alanlardan gönderilen ve “Facturat.pdf” başlıklı bir fatura olarak görünen bir PDF eki içeren bir kimlik avı e -postasıyla başlar.
Bu PDF, tıklandığında kurbanları bir “belgeyi aç” düğmesi ile onedrive olarak barındıran bir PDF’ye yönlendiren bir akış nesnesi yerleştirir.
Bu düğme ayrıca, bir trafik dağıtım sistemi (TDS) olarak hareket eden dağıtılmış bir ters proxy olan NGROK aracılığıyla kullanıcıları kötü amaçlı bir sunucuya yönlendirir.
Sunucu, Mediafire aracılığıyla uygun hedeflere PNG görüntüsü olarak gizlenmiş bir jar dosyası sunarken, hedeflenmemiş kullanıcıları faturalara yönlendirerek, hedefsiz kullanıcıları iyi huylu faturalara yönlendirerek kurbanın tarayıcısı ve dil ayarları üzerinde kontroller gerçekleştirir.
Yürütme üzerine, jar dosyası kayıt defteri alt anahtar değişiklikleri yoluyla kalıcılık oluşturur ve genellikle localtonet veya playit.gg tünel vekillerinin arkasında barındırılan bir komut ve kontrol (C2) sunucusuna bağlanır.
Turuncu CyberDefense tarafından ayrıştırılan JAR dosyası, “[Il]{5,} ”ve AES ECB ile şifreli yapılandırmalar, 2024’ten itibaren en son V7 ve V8 iterasyonlarında anahtar vuruşu, web kamerası/ses kaydı, dosya kaydı, dosya eksfiltrasyonu ve sistem manipülasyonu gibi destek özellikleri.
Tarihsel bağlam
Şu anda yok olan Sorillus.com’da “TAPT” olarak bilinen bir geliştirici tarafından 19.99 € ‘ya kadar düşük bir fiyata çevrimiçi satılan Sorillus Rat, 2019’dan beri finansal olarak motive olmuş kampanyalarla gelişti.
Ocak 2025’teki ticari altyapısının yayından kaldırılmasına rağmen, muhtemelen FBI’ın Sellix’e karşı operasyon yeteneğine bağlı olarak Telegram ve GitHub gibi platformlarda yaygın olarak erişilebilir.
2022 ve 2024 yılları arasında anormal AI, Esentir ve Kaspersky tarafından gözlemlenen tarihi enfeksiyon zincirleri, genellikle mega.nz veya Firebase barındırma gibi hizmetler aracılığıyla vergi veya fatura cazibesi kullanılarak mevcut taktikleri yansıtmaktadır.
Özellikle, Brezilyalı Portekizli tomrukçuluk mesajları ve Brezilya şarkısı “Negro Drama” dan şarkı sözleri yer alan VBS senaryoları da dahil olmak üzere son bulgular, Brezilyalı konuşan tehdit aktörlerine bağlılık öneriyor.
Şubat 2025’ten itibaren test örneklerinde Zelix Klassmaster veya Base64 gibi gizleme tekniklerindeki varyasyonlar ve XOR ile şifreli kabuk kodu ile hem Sorillus hem de Asyncrat’ı veren çift ödenmiş damlalar, bu aktörlerin uyarlanabilirliğini daha da vurgulamaktadır.
Bu kampanya, Avrupa kuruluşlarına erişilebilir kötü amaçlı yazılım araçlarının kalıcı tehdidinin altını çizerek, geleneksel güvenlik önlemlerini endişe verici etkinlikle atlamak için meşru hizmetlerden yararlanıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin