‘CodeRAT’ adlı bir uzaktan erişim truva atının (RAT) kaynak kodu, kötü amaçlı yazılım analistlerinin aracı kullanan saldırılar hakkında geliştiriciyle yüzleşmesinden sonra GitHub’a sızdırıldı.
İran kaynaklı gibi görünen kötü niyetli operasyon, Microsoft Dinamik Veri Değişimi içeren bir Word belgesiyle Farsça konuşan yazılım geliştiricilerini hedef aldı. (DDE) istismar.
İstismar, CodeRAT’ı tehdit aktörünün GitHub deposundan indirir ve yürütür ve uzak operatöre geniş bir enfeksiyon sonrası yetenek yelpazesi sunar.
Daha spesifik olarak, CodeRAT yaklaşık 50 komutu destekler ve web postasını, Microsoft Office belgelerini, veritabanlarını, sosyal ağ platformlarını, Windows Android için entegre geliştirme ortamını (IDE’ler) ve hatta PayPal gibi bireysel web sitelerini hedefleyen kapsamlı izleme yetenekleriyle birlikte gelir.
siber güvenlik şirketi Güvenli İhlal raporları kötü amaçlı yazılımın ayrıca elektronik sistemleri modellemek için bir donanım tanımlama dili olan Visual Studio, Python, PhpStorm ve Verilog gibi araçlar için hassas pencereleri de gözetlediği.
CodeRAT, operatörüyle iletişim kurmak ve çalınan verileri sızdırmak için daha yaygın komuta ve kontrol sunucusu altyapısı yerine genel bir anonim dosya yükleme API’sine dayanan Telegram tabanlı bir mekanizma kullanır.
Araştırmacılar kötü amaçlı yazılım geliştiricisiyle iletişime geçtiğinde kampanya aniden dursa da, CodeRAT yazarının kaynak kodunu herkese açık hale getirmesiyle artık daha yaygın hale gelmesi muhtemel.
CodeRAT ayrıntıları
Kötü amaçlı yazılım, ekran görüntüsü alma, pano içeriğini kopyalama, çalışan işlemlerin bir listesini alma, işlemleri sonlandırma, GPU kullanımını kontrol etme, indirme, yükleme, dosyaları silme, programları yürütme gibi yaklaşık 50 komutu destekler.
Saldırgan, komutları oluşturan ve gizleyen bir UI aracı aracılığıyla komutları oluşturabilir ve ardından bunları kötü amaçlı yazılıma iletmek için aşağıdaki üç yöntemden birini kullanabilir:
- Proxy ile Telegram bot API’si (doğrudan istek yok)
- Manuel mod (USB seçeneği dahil)
- ‘MyPictures’ klasöründe yerel olarak depolanan komutlar
Aynı üç yöntem, tek dosyalar, tüm klasörler veya belirli dosya uzantılarını hedefleme dahil olmak üzere veri hırsızlığı için de kullanılabilir.
Kurbanın ülkesi Telegram’ı yasaklamışsa, CodeRAT, blokları atlamaya yardımcı olabilecek ayrı bir istek yönlendirme kanalı oluşturan bir anti-filtre işlevi sunar.
Yazar ayrıca, kötü amaçlı yazılımın Windows kayıt defterinde herhangi bir değişiklik yapmadan yeniden başlatmalar arasında devam edebileceğini iddia ediyor, ancak SafeBreach bu özellik hakkında herhangi bir ayrıntı sağlamıyor.
CodeRAT, diğer siber suçluları çekmesi muhtemel güçlü yeteneklerle birlikte gelir. Kötü amaçlı yazılım geliştiricileri her zaman, kârlarını artıracak yeni bir “ürüne” kolayca dönüştürülebilecek kötü amaçlı yazılım kodu ararlar.