Suriyeli Bilgisayar Korsanları Siber Suçlulara Gizli C# Tabanlı Gümüş RAT Dağıtıyor
Anonymous Arabic adı altında faaliyet gösteren tehdit aktörleri, güvenlik yazılımını atlamak ve gizli uygulamaları gizlice başlatmak için donatılmış Silver RAT adlı bir uzaktan erişim truva atı (RAT) yayınladı.
Siber güvenlik firması Cyfirma, geçen hafta yayınlanan bir raporda, "Geliştiriciler, birden fazla hacker forumunda ve sosyal medya platformunda faaliyet göstererek aktif ve sofistike bir varlık sergiliyor" dedi.
Suriye kökenli olduğu değerlendirilen ve S500 RAT olarak bilinen başka bir RAT'ın geliştirilmesiyle bağlantılı olan aktörler, ayrıca kırılan RAT'lerin dağıtımı, sızdırılan veritabanları, kartlama faaliyetleri ve Facebook ve X (eski adıyla Twitter) botlarının satışı gibi çeşitli hizmetler sunan bir Telegram kanalı işletiyor.
Sosyal medya botları daha sonra diğer siber suçlular tarafından, kullanıcı içeriğiyle otomatik olarak etkileşime girerek ve yorum yaparak çeşitli yasa dışı hizmetleri tanıtmak için kullanılır.
Silver RAT v1.0'ın vahşi tespitleri ilk olarak Kasım 2023'te gözlemlendi, ancak tehdit aktörünün truva atını serbest bırakma planları ilk olarak bir yıl önce resmiyet kazandı. Ekim 2023 civarında Telegram'da kırıldı ve sızdırıldı.
C# tabanlı kötü amaçlı yazılım, bir komut ve kontrol (C2) sunucusuna bağlanmak, tuş vuruşlarını günlüğe kaydetmek, sistem geri yükleme noktalarını yok etmek ve hatta fidye yazılımı kullanarak verileri şifrelemek için çok çeşitli özelliklere sahiptir. Bir Android sürümünün çalışmalarda olduğuna dair göstergeler de var.
Şirket, "Silver RAT'ın oluşturucusunu kullanarak bir yük oluştururken, tehdit aktörleri maksimum 50 kb'ye kadar yük boyutuna sahip çeşitli seçenekler seçebilir" dedi. "Bağlandıktan sonra kurban, seçilen işlevlere göre kurbanın günlüklerini görüntüleyen saldırgan tarafından kontrol edilen Gümüş RAT panelinde görünür."
Silver RAT'ta yerleşik olarak bulunan ilginç bir kaçınma özelliği, yükün yürütülmesini belirli bir zamana kadar geciktirmenin yanı sıra uygulamaları gizlice başlatma ve güvenliği ihlal edilmiş ana bilgisayarın kontrolünü ele geçirme yeteneğidir.
Kötü amaçlı yazılım yazarının çevrimiçi ayak izinin daha fazla analizi, grubun üyelerinden birinin muhtemelen 20'li yaşlarının ortalarında olduğunu ve Şam'da bulunduğunu gösteriyor.
"Geliştirici [...] Telegram gönderilerine dayanarak Filistin'i destekliyor gibi görünüyor ve bu grupla ilişkili üyeler, sosyal medya, geliştirme platformları, yeraltı forumları ve Clearnet web siteleri dahil olmak üzere çeşitli alanlarda aktif, bu da çeşitli kötü amaçlı yazılımların dağıtımına dahil olduklarını gösteriyor" dedi.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı