Yeraltı siber suçlarında ‘DarkWatchman’ adlı yeni bir kötü amaçlı yazılım ortaya çıktı ve bu, bir C# keylogger ile eşleştirilmiş hafif ve yüksek kapasiteli bir JavaScript RAT (Uzaktan Erişim Truva Atı)’dir.
Prevailion’daki araştırmacılar tarafından hazırlanan teknik bir rapora göre, roman RAT, çoğunlukla Rus örgütlerini hedef alan Rusça konuşan aktörler tarafından kullanılıyor.
DarkWatchman’ın varlığının ilk belirtileri, tehdit aktörünün kötü amaçlı ZIP ekleri olan kimlik avı e-postaları yoluyla kötü amaçlı yazılımı dağıtmaya başlamasıyla Kasım ayı başlarında ortaya çıktı.

Kaynak: Hakimiyet
Bu ZIP dosyası ekleri, bir metin belgesinin kimliğine bürünmek için bir simge kullanan bir yürütülebilir dosya içerir. Bu yürütülebilir dosya, RAT ve keylogger’ı yükleyecek, kendi kendine kurulan bir WinRAR arşividir.

Kaynak: Hakimiyet
Açılırsa, kullanıcıya “Bilinmeyen Biçim” yazan bir tuzak açılır mesaj gösterilir, ancak gerçekte yükler arka planda yüklenmiştir.
Gizli bir ‘dosyasız’ RAT
DarkWatchman, JavaScript RAT’ın boyutu yalnızca 32 kb olan ve derlenen yalnızca 8,5 kb alan kaplayan çok hafif bir kötü amaçlı yazılımdır.
Çok sayıda “karadan yaşayan” ikili dosyalar, komut dosyaları ve kitaplıklar kullanır ve modüller arasında veri aktarmak için gizli yöntemler içerir.
DarkWatchman’ın büyüleyici yönü, keylogger için Windows Kayıt Defteri dosyasız depolama mekanizmasını kullanmasıdır.
Keylogger’ı diskte depolamak yerine, kullanıcı Windows’ta her oturum açtığında DarkWatchman RAT’ı başlatmak için zamanlanmış bir görev oluşturulur.

Kaynak: Hakimiyet
DarkWatchmen başlatıldığında, keylogger’ı .NET CSC.exe komutunu kullanarak derleyen ve onu belleğe başlatan bir PowerShell betiği yürütür.
“Keylogger, kayıt defterinde Base64 ile kodlanmış bir PowerShell komutu olarak işlenen ve depolanan, gizlenmiş C# kaynak kodu olarak dağıtılır. RAT başlatıldığında, bu PowerShell betiğini çalıştırır ve bu da keylogger’ı (CSC kullanarak) derler ve yürütür,” diye açıkladı Prevailion araştırmacıları Matt Stafford ve Sherman Smith bildiri.
“Keylogger’ın kendisi C2 ile iletişim kurmaz veya diske yazmaz. Bunun yerine, keylog’unu arabellek olarak kullandığı bir kayıt defteri anahtarına yazar. Çalışması sırasında, RAT, kaydedilen tuş vuruşlarını bilgisayara aktarmadan önce bu arabelleği sıyırır ve temizler. C2 sunucusu.”

Kaynak: Hakimiyet
Bu nedenle, kayıt defteri yalnızca kodlanmış yürütülebilir kodu gizlemek için bir yer olarak değil, aynı zamanda çalınan verileri C2’ye aktarılana kadar tutmak için geçici bir konum olarak da kullanılır.
C2 iletişimi ve altyapısı açısından, DarkWatchman aktörleri, günlük 500’e kadar alan oluşturmak için 10 öğeden oluşan bir çekirdek listeyle DGA’yı (etki alanı oluşturma algoritmaları) kullanır.
Bu onlara mükemmel operasyonel esneklik sağlar ve aynı zamanda iletişim izleme ve analizini çok zorlaştırır.
DarkWatchman’ın işlevsel yetenekleri şunlardır:
- EXE dosyalarını yürütün (çıktı döndürülerek veya döndürülmeden)
- DLL dosyalarını yükle
- Komut satırında komutları yürütün
- WSH komutlarını yürütün
- WMI aracılığıyla çeşitli komutları yürütün
- PowerShell komutlarını yürütün
- JavaScript’i değerlendirin
- Dosyaları kurban makineden C2 sunucusuna yükleyin
- RAT ve Keylogger’ı uzaktan durdurun ve kaldırın
- C2 sunucu adresini veya eve çağrı zaman aşımını uzaktan güncelleyin
- RAT ve Keylogger’ı uzaktan güncelleyin
- RAT başlangıcında çalışacak bir otomatik başlatma JavaScript’i ayarlayın
- C2 esnekliği için Etki Alanı Oluşturma Algoritması (DGA)
- Kullanıcının yönetici izinleri varsa, vssadmin.exe’yi kullanarak gölge kopyaları siler.
Fidye yazılımı hipotezi
Prevailion, DarkWatchman’ın, daha az yetenekli bağlı kuruluşlarını güçlü ve gizli bir araçla güçlendirmesi gereken fidye yazılımı grupları tarafından/bunlar için uyarlanabileceğini teorileştirir.
Kötü amaçlı yazılım, ek yükleri uzaktan yükleyebilir, böylece daha sonraki fidye yazılımı dağıtımı için gizli bir birinci aşama bulaşma olarak kullanılabilir.
DarkWatchman, ilk dayanak noktasının ardından aktör tarafından kontrol edilen etki alanlarıyla iletişim kurabildiğinden, fidye yazılımı operatörü, fidye yazılımını devralıp dağıtabilir veya dosya sızmasını doğrudan halledebilir.
Bu yaklaşım, bağlı kuruluşun rolünü bir ağ sızıcısı rolüne indirgeyecek ve aynı zamanda RaaS operasyonlarını daha klinik ve verimli hale getirecektir.