TSCookieRAT

TSCookieRAT, BlackTech adını taşıyan bilgisayar korsanı grubu tarafından Japon hedeflerine karşı kullanılan bir uzaktan erişim tehdididir. Tehdit operasyonu, hedef kullanıcıları tehdide götüren bir URL'yi tıklamaları için kandırmak için yem e-postalarını kullandı. TSCookieRAT'ın da başlangıçta PLEAD adı altında izlendiğini, ancak daha sonra yapılan analizin ikisi arasında belirli farklılıkları ortaya çıkardığını belirtmek gerekir.

Kampanyada kullanılan cazibeli e-postaların Japonya Eğitim, Kültür, Spor, Bilim ve Teknoloji Bakanlığı'ndan geldiği iddia edildi. E-postalarda sağlanan URL, TSCookieRAT'ın yükleyici bileşenini içeren şifreli bir DLL dosyasını indirir. DLL dosyası daha sonra yüklenir ve belleğe çalıştırılır. Daha sonra, saldırının sonraki aşamalarında, kampanyanın Komuta ve Kontrol (C2, C&C) sunucusundan ek modüller getirilerek ve çalıştırılarak tehdidin zararlı işlevleri genişletilir. Tüm son aşama bileşenleri ayrıca bellekte çalıştırılır.

TSCookieRAT tehdit işlemine başlamaya hazır olduğunda, C & C'ye bir HTTP GET isteği gönderir ve ardından gelen komutları bekler. Tehdit, dolandırıcının enfekte olmuş sistem üzerinde önemli bir kontrol seviyesi oluşturmasına izin verir. Bilgisayar korsanları, rastgele kabuk komutları çalıştırabilir, sürücü ve sistem bilgileri dahil verileri dışarı çıkarabilir, dosya sistemini değiştirebilir ve Chrome, Firefox, Edge, Internet Explorer ve Outlook e-posta istemcisi gibi en popüler Web tarayıcılarından şifreler gibi hassas bilgileri toplayabilir. Alınan komutlara yanıt olarak toplanan sonuçlar daha sonra ilk HTTP POST isteğiyle aynı biçimde yüklenir.

BlackTech saldırı kampanyaları Japon hedeflerine yönelik devam edebilir ve farklı kötü amaçlı yazılım tehditleri içerebilir, bu nedenle kuruluşlar siber güvenliklerini tatmin edici bir seviyede tutmalı ve herhangi bir yazılım güvenlik yamasını zamanında uygulamalıdır.