Açık Kaynak Xeno RAT Truva Atı GitHub'da Güçlü Bir Tehdit Olarak Ortaya Çıkıyor

Xeno RAT adlı "karmaşık bir şekilde tasarlanmış" bir uzaktan erişim truva atı (RAT) GitHub'da kullanıma sunuldu ve diğer aktörler tarafından hiçbir ek ücret ödemeden kolayca erişilebilir hale getirildi.

C# ile yazılmış ve Windows 10 ve Windows 11 işletim sistemleriyle uyumlu olan açık kaynaklı RAT, moom825 adını kullanan geliştiricisine göre "uzaktan sistem yönetimi için kapsamlı bir dizi özellik" ile birlikte gelir.

Bir SOCKS5 ters proxy'si ve gerçek zamanlı ses kaydetme yeteneğinin yanı sıra, saldırganların virüslü bir bilgisayara uzaktan erişim sağlamasına olanak tanıyan DarkVNC hatları boyunca gizli bir sanal ağ bilgi işlem (hVNC) modülü içerir.

Geliştirici, proje açıklamasında "Xeno RAT tamamen sıfırdan geliştirildi ve uzaktan erişim araçlarına benzersiz ve özel bir yaklaşım sağlıyor" diyor. Dikkate değer bir diğer husus, kötü amaçlı yazılımın ısmarlama varyantlarının oluşturulmasını sağlayan bir oluşturucuya sahip olmasıdır.

moom825'in aynı zamanda, ReversingLabs tarafından Ekim 2023'te açıklandığı üzere, tehdit aktörleri tarafından node-hide-console-windows adlı kötü amaçlı bir npm paketi içinde dağıtılan DiscordRAT 2.0 adlı başka bir C# tabanlı RAT'ın geliştiricisi olduğunu belirtmekte fayda var.

Siber güvenlik firması Cyfirma, geçen hafta yayınlanan bir raporda, Xeno RAT'ın Discord içerik dağıtım ağı (CDN) aracılığıyla yayıldığını gözlemlediğini ve bir kez daha uygun fiyatlı ve ücretsiz olarak kullanılabilen kötü amaçlı yazılımlardaki artışın RAT'leri kullanan kampanyalarda nasıl bir artışa yol açtığının altını çizdiğini söyledi.

Şirket, "WhatsApp ekran görüntüsü olarak gizlenmiş bir kısayol dosyası biçimindeki birincil vektör, bir indirici görevi görüyor" dedi. "İndirici, ZIP arşivini Discord CDN'den indirir, bir sonraki aşama yükünü çıkarır ve yürütür."

Çok aşamalı dizi, kötü amaçlı bir DLL başlatmak için DLL dışarıdan yükleme adı verilen bir teknikten yararlanırken, aynı anda kalıcılık sağlamak ve analiz ve algılamadan kaçınmak için adımlar atar.

Gelişme, AhnLab Güvenlik İstihbarat Merkezi'nin (ASEC), Linux sistemlerini hedef alan saldırılarda kullanılan ve düşmanların hassas bilgileri toplamasına izin veren Nood RAT adlı bir Gh0st RAT varyantının kullanıldığını ortaya çıkarmasıyla geldi.

ASEC, "Nood RAT, kötü amaçlı dosyaları indirmek, sistemlerin dahili dosyalarını çalmak ve komutları yürütmek gibi kötü amaçlı etkinlikleri gerçekleştirmek için C&C sunucusundan komutlar alabilen bir arka kapı kötü amaçlı yazılımıdır" dedi.

"Biçim olarak basit olmasına rağmen, ağ paketi algılamasını önlemek için şifreleme özelliği ile donatılmıştır ve birden fazla kötü amaçlı etkinlik gerçekleştirmek için tehdit aktörlerinden komutlar alabilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.