Atropozi RAT
Atroposia, yeraltı forumlarında pazarlanan ticari amaçlı bir uzaktan erişim Truva Atı'dır (RAT). Operatörlerine, ele geçirilmiş makineler üzerinde derin ve gizli bir kontrol sağlamanın yanı sıra veri çalmak, ağ davranışını manipüle etmek ve sistemlerde daha fazla zayıflık olup olmadığını tespit etmek için zengin bir araç seti sunar. Geniş yetenekleri ve kaçınma özellikleri nedeniyle, bir cihazda Atroposia'nın varlığı doğrulandığında derhal kaldırılması gerekir.
Kötü amaçlı yazılım tehdidi potansiyel 'müşterilere' üç ödeme kademesiyle sunuluyor:
Aylık kira: 200$
Üç aylık: 500 $ (üç ay)
Altı aylık: 900 $ (altı ay)
İçindekiler
Gizlilik, ısrar ve komuta kanalı
Atroposia, gizli kalacak şekilde tasarlanmıştır. Ayrıcalıkları otomatik olarak artırabilir (UAC'yi atlayarak), yeniden başlatmalardan etkilenmemesi için birden fazla kalıcılık tekniği kullanır ve antivirüs tespitinden kaçınmak üzere tasarlanmıştır. Operatör komuta ve kontrol sunucularıyla iletişimi şifrelenir ve web tarzı bir kontrol paneli, orta düzeyde beceriye sahip suçlular için bile kötü amaçlı görevlerin yürütülmesini kolaylaştırır.
Gizli uzaktan kumanda ve dosya yönetimi
İmza özelliği, kurbanın makinesinde görünmez bir oturum açan ve böylece uzaktaki bir saldırganın kullanıcıya görünür işaretler olmadan masaüstüyle etkileşime girmesini sağlayan gizli bir uzak masaüstü bileşenidir ('HRDP Connect' olarak pazarlanmaktadır). Buna ek olarak, Atroposia, saldırganların sürücülere ve klasörlere göz atmasına, dosyaları aramasına, indirmesine, silmesine veya uzaktan çalıştırmasına olanak tanıyan bir dosya yöneticisi içerir.
Toplu toplama ve gizli paketleme
RAT, dosyaları uzantıya veya anahtar sözcüğe göre arayan ve eşleşmeleri parola korumalı bir ZIP dosyasına toplayan bir yakalayıcı içerir. Verileri tamamen bellekte toplayıp paketleyebilir veya yerleşik sistem yardımcı programlarına güvenerek diskte kalan kalıntıları en aza indirebilir ve adli tespitleri zorlaştırabilir.
Kimlik bilgisi ve cüzdan hırsızlığı yetenekleri
Atroposia'nın hırsız modülü, çok çeşitli hassas verileri toplar: kaydedilmiş tarayıcı parolaları, iş uygulamaları ve VPN istemcilerinden gelen kimlik bilgileri, mesajlaşma programlarından gelen veriler, varsa parola yöneticisi verileri ve kripto para cüzdanı bilgileri. Ayrıca, pano içeriğini (kullanıcının kopyaladığı veya kestiği her şeyi) yakalar, bu girdileri kaydeder ve depolar. Hatta, kopyalanan cüzdan adreslerini veya kimlik bilgilerini değiştirmek için pano içeriğini üzerine yazabilir; bu, fonları çalmak veya hesapları ele geçirmek için kullanışlı bir tekniktir.
Ağ manipülasyonu ve DNS ele geçirme
Kötü amaçlı yazılım, DNS ayarlarını değiştirebilir veya ad aramalarını başka şekillerde engelleyerek, kurbanın tarayıcısının sessizce saldırgan kontrolündeki sahte sitelere (örneğin, sahte giriş sayfaları) yönlendirilmesini sağlayabilir. Tarayıcı beklenen URL'yi görüntülemeye devam edebileceğinden, kurbanlar meşru bir sitede olduklarını düşünerek kimlik bilgilerini girmeye kandırılabilirler.
Güvenlik açığı taraması ve yükseltme fırsatları
Atroposia, enfekte olmuş ana bilgisayarı eksik yamalar, zayıf yapılandırmalar ve güncel olmayan yazılımlar açısından inceleyen bir tarayıcı içerir. Kurumsal ortamlarda bu, yama uygulanmamış VPN istemcileri, ayrıcalık yükseltme hataları veya diğer riskler gibi yüksek değerli hedefleri ortaya çıkarabilir ve saldırganlar daha sonra bunları kullanarak ağ genelinde erişimi genişletebilir.
Sistem telemetrisi ve uzaktan kontrol yardımcı programları
Veri hırsızlığı ve uzak masaüstünün yanı sıra, RAT sistem meta verilerini (IP adresleri, işletim sistemi sürümü, coğrafi konum ve diğer ortam ayrıntıları) toplar, çalışan işlemleri listeleyip yönetebilir ve uzaktan kapatma ve yeniden başlatma işlemlerini destekler. Araç seti ayrıca, birlikte geniş operasyonel esneklik sağlayan ek, düşük etkili yardımcı programlar da içerir.
Enfeksiyonlar genellikle nasıl meydana gelir?
Kötü amaçlı veya silahlandırılmış belgeler (örneğin, e-posta yoluyla dağıtılan virüslü PDF'ler veya diğer ekler)
Yazılım korsanlığı paketleri, geçiş saldırıları, kötü amaçlı reklamlar, sahte teknik destek planları, P2P/paylaşımlı dosyalar, aldatıcı indirme siteleri, üçüncü taraf yükleyiciler ve benzeri kanallar
Bu dağıtım yöntemlerinin başarılı olmasının nedeni: Saldırganlar sosyal mühendisliğe (sahte belgeler, cazip indirmeler veya dosyaları çalıştırma istekleri) veya güvenlik açıklarını ve aldatıcı yükleyicileri kötüye kullanmaya güvenirler; enfeksiyonların çoğu, bir kullanıcının kötü amaçlı yazılım çalıştırmaya kandırılmasıyla gerçekleşir.
Etki özeti
Atroposia, kapsamlı veri sızdırma (dosyalar, kimlik bilgileri, pano verileri, kripto cüzdanlar), gizli uzaktan kontrol, DNS kurcalama yoluyla ağ yönlendirme ve daha fazla istismar için keşif olanağı sağlar. Gizli mimarisi (yetki yükseltme, kalıcılık, bellek içi paketleme, şifreli C2 ve gizli uzak oturumlar), onu hem bireyler hem de kuruluşlar için özellikle tehlikeli hale getirir.
Anında yanıt
Bir sistemde Atroposia şüphesi veya tespiti varsa, cihazın ağ bağlantısını kesin, mümkünse analiz için günlükleri saklayın ve kötü amaçlı yazılımı mümkün olan en kısa sürede kaldırın. Operatörler toplanan kimlik bilgilerini ve yan yolları kullanabildiğinden, herhangi bir güvenlik açığını potansiyel olarak yaygın bir tehdit olarak değerlendirin ve parolaları değiştirmeyi, belirteçleri iptal etmeyi ve daha kapsamlı bir dahili soruşturma yürütmeyi düşünün.
