Rhadamanthys Kötü Amaçlı Yazılım: Bilgi Hırsızlarının İsviçre Çakısı Ortaya Çıkıyor

Check Point, bu yaklaşımın onu yalnızca "belirli distribütör ihtiyaçlarını" karşılayabilecek bir tehdide dönüştürmekle kalmayıp, aynı zamanda daha güçlü hale getirdiğini söyledi.

İlk olarak Ekim 2022'de ThreatMon tarafından belgelenen Rhadamanthys, Eylül 2022 gibi erken bir tarihte "kingcrete2022" takma adı altında bir aktör tarafından hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında satıldı.

Tipik olarak, Google reklamları aracılığıyla reklamı yapılan orijinal yazılımları yansıtan kötü amaçlı web siteleri aracılığıyla dağıtılan kötü amaçlı yazılım, web tarayıcıları, kripto cüzdanları, e-posta istemcileri, VPN ve anlık mesajlaşma uygulamaları dahil olmak üzere güvenliği ihlal edilmiş ana bilgisayarlardan çok çeşitli hassas bilgileri toplayabilir.

İsrailli siber güvenlik firması Mart 2022'de yaptığı açıklamada, "Rhadamanthys, ortaya çıkan kötü amaçlı yazılım geleneğinde mümkün olduğunca çok şey yapmaya çalışan bir adımı ve aynı zamanda kötü amaçlı yazılım işinde güçlü bir markaya sahip olmanın her şey olduğunun bir kanıtını temsil ediyor" dedi.

Ağustos ayında kullanıma hazır kötü amaçlı yazılımla ilgili müteakip bir soruşturma, "tasarım ve uygulamanın" Hidden Bee madeni para madencisininkiyle örtüştüğünü ortaya çıkardı.

Araştırmacılar, kötü amaçlı yazılımın gelişimini "hızlı tempolu ve devam eden" olarak nitelendirerek, "Benzerlik birçok düzeyde belirgindir: özel yürütülebilir formatlar, benzer sanal dosya sistemlerinin kullanımı, bazı bileşenlere özdeş yollar, yeniden kullanılan işlevler, steganografinin benzer kullanımı, LUA komut dosyalarının kullanımı ve genel olarak benzer tasarım" dedi.

Yazma itibariyle, Rhadamanthys'in mevcut çalışma sürümü, tehdit aktörünün Telegram kanalındaki açıklamaya göre 0.5.2'dir.

Check Point'in 0.5.0 ve 0.5.1 sürümlerinin analizi, onu etkili bir şekilde daha çok İsviçre Çakısı haline getiren ve modülerleştirme ve özelleştirmeye doğru bir kayma olduğunu gösteren yeni bir eklenti sistemini ortaya koyuyor. Bu aynı zamanda hırsız müşterilerin hedeflerine göre uyarlanmış ek araçlar kullanmalarına da olanak tanır.

Hırsız bileşenleri hem aktiftir, süreçleri açabilir ve bilgi hırsızlığını kolaylaştırmak için tasarlanmış ek yükler enjekte edebilir hem de kayıtlı kimlik bilgilerini almak için belirli dosyaları aramak ve ayrıştırmak için tasarlanmış pasiftir.

Göze çarpan bir diğer husus, kripto para cüzdanlarından, e-posta aracılarından, FTP hizmetlerinden, not alma uygulamalarından, anlık mesajlaşma programlarından, VPN'lerden, iki faktörlü kimlik doğrulama uygulamalarından ve parola yöneticilerinden mümkün olduğunca fazla bilgi çalmak için 100'e kadar Lua komut dosyası yükleyebilen bir Lua komut dosyası çalıştırıcısının kullanılmasıdır.

Sürüm 0.5.1 bir adım daha ileri giderek, kripto para birimi ödemelerini saldırgan tarafından kontrol edilen bir cüzdana yönlendirmek için cüzdan adresleriyle eşleşen pano verilerini değiştirmek için kesme işlevi ve Lumma Stealer'ın ayak izlerini izleyerek Google Hesabı çerezlerini kurtarma seçeneği ekliyor.

Güvenlik araştırmacısı Aleksandra "Hasherezade" Doniec, "Yazar, bir distribütör tarafından oluşturulan birden fazla uzantıyı yüklemesini sağlayarak onu yalnızca bir hırsız değil, aynı zamanda çok amaçlı bir bot haline getirmeye çalışarak mevcut özellikler setini zenginleştirmeye devam ediyor" dedi.

"Keylogger ve sistem hakkında bilgi toplama gibi eklenen özellikler de onu genel amaçlı bir casus yazılım haline getirme yolunda bir adımdır."

AsyncRAT'ın aspnet_compiler.exe'ye Kod Enjeksiyonu

Bulgular, Trend Micro'nun kimlik avı saldırıları yoluyla uzaktan erişim truva atını (RAT) gizlice dağıtmak için ASP.NET web uygulamalarını önceden derlemek için kullanılan aspnet_compiler.exe adlı meşru bir Microsoft işleminden yararlanan yeni AsyncRAT enfeksiyon zincirlerini ayrıntılı olarak açıkladığı sırada geldi.

Rhadamanthys'in çalışan işlemlere kod enjeksiyonu gerçekleştirmesine benzer şekilde, çok aşamalı işlem, AsyncRAT yükünün nihayetinde bir komuta ve kontrol (C2) sunucusuyla iletişim kurmak için yeni oluşturulan bir aspnet_compiler.exe işlemine enjekte edilmesiyle sonuçlanır.

Güvenlik araştırmacıları Buddy Tancio, Fe Cureg ve Maria Emreen Viray, "AsyncRAT arka kapısı, gömülü yapılandırmaya bağlı olarak başka yeteneklere de sahip" dedi. "Bu, hata ayıklama önleme ve analiz kontrollerini, kalıcılık yüklemesini ve keylogging'i içerir."

Ayrıca, kripto cüzdanlarının varlığını kontrol etmek için uygulama dizini, tarayıcı uzantıları ve kullanıcı verileri içindeki belirli klasörleri taramak üzere tasarlanmıştır. Bunun da ötesinde, tehdit aktörlerinin faaliyetlerini kasıtlı olarak gizlemek için Dinamik DNS'ye (DDNS) güvendikleri gözlemlendi.

Araştırmacılar, "Dinamik ana bilgisayar sunucularının kullanılması, tehdit aktörlerinin IP adreslerini sorunsuz bir şekilde güncellemelerine olanak tanıyarak sistem içinde tespit edilmeden kalma yeteneklerini güçlendiriyor" dedi.

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği