Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım RTX RAT

RTX RAT

Mezo'de Kötü amaçlı yazılım, Uzaktan Yönetim Araçları'de
Çevir:

CPUID ile ilgili bir güvenlik olayı, kullanıcıları resmi web sitesi cpuid.com üzerinden kötü amaçlı yazılımlara maruz bıraktı. 24 saatten kısa bir süre içinde, siber suçlular, yaygın olarak kullanılan donanım izleme araçlarının virüslü sürümlerini dağıtmak için indirme bağlantılarını başarıyla manipüle etti.

Güvenlik açığı, 9 Nisan 15:00 UTC ile 10 Nisan 10:00 UTC arasında meydana geldi ve bu süre zarfında meşru yükleyici bağlantıları aralıklı olarak kötü amaçlı yönlendirmelerle değiştirildi. Önemli olarak, CPUID, ihlalin temel yazılımın kendisini değiştirmek yerine web sitesinin rastgele zararlı bağlantılar göstermesine neden olan ikincil bir özellikten, esasen bir yan API'den kaynaklandığını ve bu nedenle orijinal imzalı ikili dosyalarının sağlam kaldığını doğruladı.

Kötü Amaçlı Altyapı: Saldırının Arkasındaki Sahte Alan Adları

Siber güvenlik araştırmacılarının yaptığı incelemeler, truva atı bulaşmış zararlı yazılımları barındırmak ve dağıtmak için kullanılan çeşitli alan adlarını tespit etti. Bu kötü amaçlı web siteleri, şüphelenmeyen kullanıcıları tehlikeli indirmelere yönlendirmede merkezi bir rol oynadı:

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hr

Bu alan adları, kötü amaçlı yazılım dağıtımını ve komuta-kontrol operasyonlarını desteklemek üzere tasarlanmış daha geniş bir altyapının parçasıydı.

Gizli Dağıtım Mekanizması: DLL Yan Yükleme Kötüye Kullanımı

Saldırganlar, DLL yan yüklemesi adı verilen bilinen bir atlatma tekniği kullandılar. Kötü amaçlı paketler hem ZIP arşivleri hem de bağımsız yükleyiciler olarak dağıtıldı ve her biri iki bileşen içeriyordu: yasal, imzalı bir yürütülebilir dosya ve 'CRYPTBASE.dll' adlı sahte bir dinamik bağlantı kütüphanesi.

İmzalı ikili dosyalara duyulan güveni istismar ederek, zararlı DLL, yürütme sırasında yüklendi ve gizli bir şekilde sistemin ele geçirilmesine olanak sağlandı. Zararlı yazılım, daha fazla işlem başlatmadan önce, analiz ortamlarında tespit edilmekten kaçınmak için sanal ortam karşıtı kontroller gerçekleştirdi. Bu kontroller geçildikten sonra, ek zararlı yazılımları almak için harici bir sunucuyla iletişime geçti.

STX RAT Dağıtımı: Çok Yönlü Bir İstismar Sonrası Aracı

Kampanyanın nihai amacı, gizli sanal ağ hesaplama (HVNC) yeteneklerine ve kapsamlı veri hırsızlığı işlevlerine sahip güçlü bir uzaktan erişim truva atı olan STX RAT'ı devreye sokmaktı.

Bu kötü amaçlı yazılım, saldırganların bulaşmış sistemler üzerinde kalıcı kontrol sağlamasına ve aşağıdakiler de dahil olmak üzere çok çeşitli sömürü sonrası faaliyetler gerçekleştirmesine olanak tanır:

  • EXE, DLL, PowerShell komut dosyaları ve shellcode'un bellekte yürütülmesi
  • Ters proxy ve ağ tünelleme
  • Uzaktan masaüstü etkileşimi ve gözetimi

Bu özellikler, STX RAT'ı hem bireysel hem de kurumsal ortamlarda özellikle tehlikeli hale getiriyor.

Kampanya Çakışması: Daha Önceki FileZilla Saldırılarıyla Bağlantılar

Analizler, bu olayda kullanılan Komuta ve Kontrol (C2) altyapısının daha önce FileZilla'nın truva atı bulaştırılmış kurulum dosyalarını içeren ayrı bir kampanyayla ilişkili olduğunu ortaya koydu. Aynı sunucu yapılandırmalarının ve iletişim alanlarının yeniden kullanılması, iki kampanya arasında operasyonel bir örtüşme olduğunu güçlü bir şekilde göstermektedir.

Taktiklerin, tekniklerin ve altyapının bu şekilde tekrarlanması, tespit ve ilişkilendirme için değerli göstergeler sağladı.

Uzun Vadeli Operasyon: 10 Aylık Kampanya Takvimi

Daha detaylı incelemeler, CPUID ihlalinin Temmuz 2025'te başlayan daha geniş bir kampanyanın parçası olduğunu göstermektedir. 'superbad.exe' olarak tanımlanan en eski bilinen kötü amaçlı yazılım örneğinin, 95.216.51.236 adresindeki bir komuta ve kontrol sunucusuyla iletişim kurduğu gözlemlenmiştir.

Güvenlik uzmanları, tehdit aktörünün büyük olasılıkla Rusça konuşan biri olduğunu ve finansal motivasyonla hareket ettiğini veya sistemlerde yer edinme konusunda uzmanlaşmış ve bu erişimi diğer siber suçlulara satan bir ilk erişim aracıcısı olarak faaliyet gösterdiğini değerlendiriyor.

Etki Değerlendirmesi: Küresel Erişim ve Çeşitli Mağdurlar

Saldırıdan etkilenenlerin sayısı 150'yi aşkın olup, bunların büyük çoğunluğu bireysel kullanıcılardır. Bununla birlikte, perakende, üretim, danışmanlık, telekomünikasyon ve tarım sektörleri de dahil olmak üzere birçok sektördeki kuruluşlar da güvenlik açığından etkilenmiştir.

Coğrafi olarak, enfeksiyonların büyük çoğunluğu Brezilya, Rusya ve Çin'de tespit edilmiş olup, bu durum geniş kapsamlı ve fırsatçı bir hedefleme stratejisine işaret etmektedir.

Operasyonel Zayıflıklar: Tespit Edilmesine Yol Açan Hatalar

Kampanyanın büyüklüğüne rağmen, operasyonel güvenlikteki çeşitli aksaklıklar saldırganların etkinliğini önemli ölçüde baltaladı. Daha önceki kampanyalardan aynı enfeksiyon zincirlerinin, STX RAT yüklerinin ve komuta-kontrol alan adlarının yeniden kullanılması, faaliyetin izlenmesini ve ilişkilendirilmesini kolaylaştırdı.

Bu eksiklikler, kötü amaçlı yazılım geliştirme ve dağıtım uygulamalarında nispeten düşük bir gelişmişlik düzeyine işaret etmektedir. Sonuç olarak, savunmacılar, saldırının başlatılmasından kısa bir süre sonra tespit edebildiler ve bu da saldırının genel etkisini ve maruz kalma süresini sınırladı.


trend

Güvenlik Doğrulaması Gereken E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Beklenmedik e-postalarla başa çıkarken dikkatli olmak, çevrimiçi güvenliği korumak için çok önemlidir. Siber suçlular, güven ve aciliyet duygusundan yararlanmak için kötü amaçlı mesajları sıklıkla meşru iletişim gibi gösterirler. "Güvenlik Doğrulaması Gerekli" e-posta dolandırıcılığı bunun en önemli örneklerinden biridir. Bu e-postalar, ikna edici görünümlerine rağmen, herhangi bir meşru...

En çok görüntülenen

Yükleniyor...