Geçtiğimiz günlerde sağlık kuruluşlarına ve bir internet altyapı şirketine yönelik saldırılarda, Kuzey Kore’nin ünlü Lazarus Grubu “QuiteRAT” adı verilen yeni, son derece kompakt, son derece kaçınma özelliğine sahip bir uzaktan erişim Truva Atı (RAT) dağıttı.
QuietRAT, grubun 2022’de uygulamaya koyduğu başka bir RAT’ın yükseltilmiş versiyonu olan “MagicRAT”tır ve kendisi de 2021’deki “TigerRAT”ın devamı niteliğindedir. QuietRAT, ana makine ve kullanıcı hakkında bilgi çalmanın yanı sıra komutları çalıştırabilir ve yalnızca dört ila beş megabayt boyutunda olduğundan, hedef ağda neredeyse hiç fark edilmeyen bir iz bırakır.
Ancak hepsinden ilginç olanı, QuietRAT’ın, kötü amaçlı yazılım tespit araçlarını gizlice atlatmak için bir kostüm gibi giydiği grafik kullanıcı arayüzlerini (GUI’ler) tasarlamaya yönelik bir çerçeve olan Qt üzerine kurulmuş olmasıdır.
Şubat ayında – 9.8 “Kritik” dereceli riske ilişkin uzlaşma kanıtlarının (PoC’ler) açıklanmasından beş gün sonra CVE-2022-47966Zoho ManageEngine için bir uzaktan kod yürütme (RCE) güvenlik açığı olan – Cisco Talos’un yeni bir raporuna göre Lazarus, ABD ve Birleşik Krallık’taki sağlık kuruluşlarının yanı sıra Birleşik Krallık merkezli bir “İnternet omurga altyapı sağlayıcısına” sızmak için ManageEngine ServiceDesk’ten yararlandı. QuietRAT ilk kez bu saldırılar sırasında teste tabi tutuldu.
Lazarus’un GUI Tabanlı RAT’ları
Nisan 2022’de Lazarus Group, yaptıklarıyla değil, yapıldığı malzemeyle öne çıkan bir Truva atı olan “MagicRAT”ın bilinen en son sürümünü derledi.
MagicRAT, grafik kullanıcı arayüzleri oluşturmaya yönelik açık kaynaklı, çapraz platformlu bir yazılım olan Qt’ye statik olarak bağlıydı. Gibi Talos o sırada yazdı“RAT, tüm kodu boyunca Qt sınıflarını kullanır. Yapılandırma, bir QSettings sınıfında dinamik olarak depolanır ve sonunda diske kaydedilir; bu, o sınıf tarafından sağlanan tipik bir işlevselliktir.”
Açık olmak gerekirse, kötü amaçlı yazılımın grafiksel bir bileşeni yoktu. Peki neden bu seçimi yapıyorsunuz? Cisco Talos’un tehdit araştırmacısı Asheer Malhotra, “Öncelikle, inanılmaz derecede çok yönlü bir çerçeve olduğu için bunu kullanıyor olabilirler. Platformdan bağımsız olarak size çok sayıda seçenek sunuyor” diyor.
“İkincisi, Qt çerçevesi ağırlıklı olarak zararsız uygulamalarda kullanıldığından, bu aynı zamanda tespitlerden kaçmanın bir yolu da olabilir” diye açıklıyor. Tipik bir ana makinede, “belirli çerçeveleri ve belirli kötü amaçlı yazılım dosyalarını arayan buluşsal algılama mekanizmaları vardır. Buna dayanarak, bu dosyanın veya yürütülebilir dosyanın kötü amaçlı olup olmadığına ilişkin bir çağrı yaparlar. Qt çerçevesinin tanıtılması, buluşsal algılama olasılığı.”
QuietRAT Nedir?
Malhotra, “Lazarus ışık hızında implant üretecek” diye hayret ediyor. “Neredeyse her yıl iki veya üç yeni tip implant bulacaklar ve bir miktar başarı gördükleri sürece bunları kullanmaya devam edecekler. Ve bu implantlarla ilgili çok az açıklama görüyorlar. Bu implantlar nihayet açıklandığında, ya onları doğrulamaya başlayacaklar ya da geliştirme sürecindeki daha yeni implantlara geçecekler.”
İlk olarak Şubat ayında keşfedilen QuietRAT, MagicRAT’ın devamı niteliğindedir. MagicRAT’ın zamanlanmış görevleri ayarlama yeteneğiyle elde ettiği herhangi bir yerleşik kalıcılık mekanizmasından yoksundur (QuiteRAT’a bu gücün bir C2 sunucusu aracılığıyla verilmesi gerekir). Ancak MagicRAT’ın 18 megabaytına kıyasla çok daha kompakt olmasıyla (ortalama olarak yalnızca 4 ila 5 megabayt) bu eksikliği kapatıyor.
Malhotra, “18 megabayt bir uygulama için oldukça fazla bir miktar; özellikle de mümkün olduğu kadar gizli olmaya çalışan bir kötü amaçlı yazılım için. Bu, bilgisayarda çok büyük bir ayak izi bırakıyor” diye açıklıyor. Bu kadar büyüktü çünkü MagicRAT Qt çerçevesinin tamamını yerleştirmişti.
QuietRAT’ta yalnızca bir avuç ilgili, gerekli kütüphane hayatta kaldı. “Ve bu çok faydalı çünkü ayak izinizi mümkün olduğunca küçük tutmak istiyorsunuz” diyor.
QuietRAT, zayıflamanın yanı sıra hemen hemen her bakımdan önceki modele benziyor. Her ikisi de uzak bir kabuk yerleştirmeden ve sahiplerine dosyaları düzenleme, taşıma ve silme ya da isteğe bağlı komutları çalıştırma yeteneği vermeden önce bir makineye girerken sınırlı keşif gerçekleştirir. İkisi aynı zamanda kodu gizlemek ve uyku durumuna girmek için de benzer taktikler kullanıyor.
Lazarus’un en sinsi, en küçük RAT’ının gelecek seferlerde ortaya çıkıp çıkmayacağı henüz bilinmiyor. Belki de en büyük endişe, en zekice fikirlerin gelecekte daha fazla tehdit aktörüne ilham vermesidir.
“Tarihsel olarak, APT alanında olup bitenlerin genellikle özel alana da yansıdığını gördük. Daha az gelişmiş tehdit aktörleri araçları, teknikleri ve taktikleri öğrenecek. Dolayısıyla Qt çerçevesinin benimsenme olasılığı var Malhotra, bunun diğer kötü amaçlı yazılım yazarları ve diğer APT grupları tarafından yapıldığı konusunda uyarıyor ve bunun olduğuna dair henüz bir kanıt bulunmadığını da ekliyor.