Siber Muhbir

Etki alanları – www.warzone[.] Adalet Bakanlığı, WS ve diğer üç kişinin "siber suçlular tarafından kurbanların bilgisayarlarındaki verilere gizlice erişmek ve bunları çalmak için kullanılan bilgisayar kötü amaçlı yazılımlarını satmak için kullanıldığını" söyledi.

Yayından kaldırmanın yanı sıra, uluslararası kolluk kuvvetleri, Malta ve Nijerya'da kötü amaçlı yazılımın satışına ve desteklenmesine ve diğer siber suçluların RAT'ı kötü amaçlarla kullanmasına yardımcı olmalarına karıştıkları için iki kişiyi tutukladı ve suçladı.

Sanıklar Daniel Meli (27) ve Prens Onyeoziri Odinakachi (31), korunan bilgisayarlara yetkisiz zarar vermekle suçlanırken, ilki ayrıca "elektronik bir dinleme cihazını yasadışı olarak satmak ve reklamını yapmak ve birkaç bilgisayar izinsiz giriş suçu işlemek için bir komploya katılmakla" suçlanıyor.

Meli'nin en azından 2012'den beri çevrimiçi bilgisayar korsanlığı forumları, e-kitap paylaşma ve diğer suçluların siber saldırılar gerçekleştirmek için RAT'leri kullanmalarına yardımcı olma yoluyla kötü amaçlı yazılım hizmetleri sunduğu iddia ediliyor. Warzone RAT'tan önce, Pegasus RAT olarak bilinen başka bir RAT satmıştı (NSO Group'un Pegasus casus yazılımıyla karıştırılmamalıdır).

Meli gibi Odinakachi de Haziran 2019 ile Mart 2023'ten önce Warzone RAT kötü amaçlı yazılımı satın alanlara çevrimiçi müşteri desteği sağladı. Her iki kişi de 7 Şubat 2024'te tutuklandı.

Ave Maria olarak da bilinen Warzone RAT, ilk olarak Ocak 2019'da Yoroi tarafından 2018'in sonlarına doğru petrol ve gaz sektöründeki bir İtalyan kuruluşunu hedef alan bir siber saldırının parçası olarak belgelendi ve Denklem Düzenleyicisi'nde bilinen bir güvenlik açığından yararlanan sahte Microsoft Excel dosyaları taşıyan kimlik avı e-postaları kullanıldı (CVE-2017-11882).

Hizmet olarak kötü amaçlı yazılım (Maas) modeli altında ayda 38 ABD Doları (veya bir yıl için 196 ABD Doları) karşılığında satılan bu ürün, bir bilgi hırsızı işlevi görür ve uzaktan kontrolü kolaylaştırır, böylece tehdit aktörlerinin virüslü ana bilgisayarlara devam eden istismar için komuta etmesine olanak tanır.

Kötü amaçlı yazılımın dikkate değer özelliklerinden bazıları, kurbanın dosya sistemlerine göz atma, ekran görüntüsü alma, tuş vuruşlarını kaydetme, kurbanın kullanıcı adlarını ve parolalarını çalma ve kurbanın bilgisi veya rızası olmadan bilgisayarın web kameralarını etkinleştirme becerisini içerir.

Zscaler ThreatLabz, 2023'ün başlarında yaptığı açıklamada, "Ave Maria saldırıları, kimlik avı e-postaları aracılığıyla başlatılır, bırakılan yük kurbanın makinesine kötü amaçlı yazılım bulaştığında, RC4 algoritmasını kullanarak C2 bağlantısının şifresini çözdükten sonra, saldırganın HTTP olmayan protokolde komuta ve kontrol (C2) sunucusuyla iletişim kurar" dedi.

"2018'den beri size sadakatle hizmet ediyoruz" sloganına sahip, şu anda kaldırılmış web sitelerinden birinde, C/C++ kötü amaçlı yazılımının geliştiricileri, onu güvenilir ve kullanımı kolay olarak nitelendirdi. Ayrıca müşterilerin kendileriyle e-posta yoluyla iletişim kurabilmelerini sağladılar (solmyr@warzone[.] ws), Telegram (@solwz ve @sammysamwarzone), Skype (vuln.hf) ve ayrıca özel bir "istemci alanı" aracılığıyla.

Ek bir iletişim yolu, kullanıcılardan Meli#4472 kimliğine sahip bir hesapla iletişime geçmelerinin istendiği Discord'du. Meli'ye bağlı başka bir Telegram hesabı @daniel96420.

Kötü amaçlı yazılım, siber suç gruplarının dışında, geçen yıl boyunca YoroTrooper gibi birçok gelişmiş tehdit aktörünün yanı sıra Rusya ile ilişkili olanlar tarafından da kullanıldı.

Adalet Bakanlığı, ABD Federal Soruşturma Bürosu'nun (FBI) Warzone RAT'ın kopyalarını gizlice satın aldığını ve hain işlevlerini doğruladığını söyledi. Koordineli tatbikat, Avustralya, Kanada, Hırvatistan, Finlandiya, Almanya, Japonya, Malta, Hollanda, Nijerya, Romanya ve Europol'deki yetkililerin yardımını içeriyordu.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.