PY#RASYON Sıçan

Vahşi doğada yeni bir saldırı kampanyası yakalandı. Tehdit operasyonu, PY#RATION RAT adlı yeni bir Python tabanlı kötü amaçlı yazılım kullanıyor. Bu Uzaktan Erişim Truva Atlarında (RAT'ler) tipik olarak olduğu gibi, PY#RATION, veri hırsızlığı ve keylogging dahil olmak üzere kapsamlı bir dizi zararlı beceriye sahiptir. Bu tehdidi özellikle benzersiz kılan şey, hem Komuta-ve-Kontrol (C2, C&C) iletişimi ve sızma için WebSockets kullanmasının yanı sıra, kötü amaçlı yazılımdan koruma çözümlerinden ve ağ güvenlik önlemlerinden tespit edilmekten kurtulma becerisidir.

PY#RATION RAT ile ilgili detaylar, siber güvenlik araştırmacıları tarafından hazırlanan bir raporda ortaya çıktı. Bulgularına göre, saldırının bir parçası olarak kullanılan kimlik avı tuzaklarına bakılırsa, tehdidin arkasındaki siber suçlular çoğunlukla Birleşik Krallık veya Kuzey Amerika'daki hedeflere odaklanıyor.

PY#RATION Saldırı Zinciri

Saldırı, bir ZIP arşivi içeren aldatıcı bir kimlik avı e-postasıyla başlar. Arşivin içinde, sözde orijinal bir İngiliz ehliyetinin ön ve arka görüntüleri gibi görünen iki kısayol (.LNK) dosyası var. Bu .LNK dosyalarının her birini açtıktan sonra, uzak bir sunucudan iki metin dosyası alınır ve ardından .BAT dosyaları olarak kaydedilir.

Kurbana tuzak görüntüler gösterilirken, zararlı dosyalar sistemin arka planında sessizce yürütülür. Ek olarak, 'CortanaAssistance.exe' adlı bir Python ikili dosyası da dahil olmak üzere diğer yükleri alan başka bir toplu komut dosyası C2 sunucusundan indirilir. Microsoft'un sanal asistanı Cortana'nın kullanılması, saldırganların bozuk kodlarını meşru bir sistem dosyası olarak gizlemeye çalışmış olabileceklerini ima ediyor.

PY#RATION RAT'ın Yaralayıcı Yetenekleri

İki PY#RATION Trojan sürümü tespit edildi (sürüm 1.0 ve 1.6). Daha yeni sürüm, güvenliği ihlal edilmiş ağları incelemek için ağ tarama özellikleri ve fernet modülünü kullanarak Python kodu üzerinde bir şifreleme katmanı ekleyen yaklaşık 1.000 satırlık ek kod içerir. Ek olarak tehdit, dosyaları ihlal edilen ana bilgisayardan C2 sunucusuna veya tam tersi şekilde aktarabilir.

RAT, tuş vuruşlarını kaydetmeye, sistem komutlarını yürütmeye, Web tarayıcılarından parolaları ve çerezleri çıkarmaya, pano verilerini yakalamaya ve güvenlik yazılımının varlığını algılamaya başlayabilir. Tehdit aktörleri, açıkça Web tarayıcılarından ve kripto para cüzdanlarından veri toplamak için oluşturulmuş başka bir Python tabanlı bilgi hırsızı gibi diğer tehditlerin yüklerini dağıtmak için bir ağ geçidi olarak PY#RATION'ı kullanabilir.