Anonymous Arabic adı altında faaliyet gösteren tehdit aktörleri, adı verilen bir uzaktan erişim truva atı (RAT) yayınladı. Gümüş RAT güvenlik yazılımını aşacak ve gizli uygulamaları gizlice başlatacak donanıma sahiptir.
Siber güvenlik firması Cyfirma, “Geliştiriciler çok sayıda hacker forumu ve sosyal medya platformunda faaliyet göstererek aktif ve sofistike bir varlık sergiliyor.” söz konusu Geçen hafta yayınlanan bir raporda.
Suriye kökenli olduğu değerlendirilen ve S500 RAT olarak bilinen başka bir RAT’ın geliştirilmesiyle bağlantılı olduğu değerlendirilen aktörler, aynı zamanda kırılmış RAT’ların dağıtımı, sızdırılan veri tabanları, tarama faaliyetleri ve Facebook ve Facebook’un satışı gibi çeşitli hizmetler sunan bir Telegram kanalını da yönetiyor. X (eski adıyla Twitter) botları.
Sosyal medya botları daha sonra diğer siber suçlular tarafından, kullanıcı içeriğiyle otomatik olarak etkileşime girerek ve bunlar hakkında yorum yaparak çeşitli yasa dışı hizmetleri tanıtmak için kullanılıyor.
Silver RAT v1.0’ın olağan dışı tespitleri ilk olarak Kasım 2023’te gözlemlendi, ancak tehdit aktörünün truva atını yayınlama planları ilk kez bir yıl önce resmileşti. Ekim 2023 civarında kırıldı ve Telegram’a sızdırıldı.
C# tabanlı kötü amaçlı yazılım, bir komut ve kontrol (C2) sunucusuna bağlanmak, tuş vuruşlarını günlüğe kaydetmek, sistem geri yükleme noktalarını yok etmek ve hatta fidye yazılımı kullanarak verileri şifrelemek için çok çeşitli özelliklere sahiptir. Ayrıca Android sürümünün de üzerinde çalışıldığına dair belirtiler var.
Şirket, “Silver RAT’ın oluşturucusunu kullanarak bir veri yükü oluştururken, tehdit aktörleri maksimum 50 KB’ye kadar yük boyutuna sahip çeşitli seçenekleri seçebilir” dedi. “Bağlandıktan sonra kurban, seçilen işlevlere göre kurbanın günlüklerini görüntüleyen, saldırgan tarafından kontrol edilen Silver RAT panelinde beliriyor.”
Silver RAT’ın ilginç bir kaçırma özelliği, yükün yürütülmesini belirli bir süre geciktirme, aynı zamanda uygulamaları gizlice başlatma ve tehlikeye atılan ana bilgisayarın kontrolünü ele geçirme yeteneğidir.
Kötü amaçlı yazılım yazarının çevrimiçi ayak izinin daha ayrıntılı analizi, grup üyelerinden birinin muhtemelen 20’li yaşların ortasında olduğunu ve Şam’da bulunduğunu gösteriyor.
“Geliştirici […] Cyfirma, Telegram gönderilerine dayanarak Filistin’i desteklediğini ve bu grupla ilişkili üyelerin sosyal medya, geliştirme platformları, yer altı forumları ve Clearnet web siteleri dahil olmak üzere çeşitli alanlarda aktif olduklarını ve çeşitli kötü amaçlı yazılımların dağıtımına dahil olduklarını öne sürdüğünü belirtti.