Tehdit aktörlerinin, virüslü cihazları bir botnet’e dahil etmek için NiceRAT adlı kötü amaçlı yazılımı dağıttıkları gözlemlendi.
Güney Koreli kullanıcıları hedef alan saldırılar, kötü amaçlı yazılımı Microsoft Windows gibi kırık yazılımlar veya Microsoft Office için lisans doğrulaması sunduğunu iddia eden araçlar kisvesi altında yaymak için tasarlandı.
AhnLab Güvenlik İstihbarat Merkezi (ASEC) “Crack programlarının doğası gereği, sıradan kullanıcılar arasındaki bilgi paylaşımı, kötü amaçlı yazılımın ilk dağıtıcıdan bağımsız olarak dağıtımına katkıda bulunuyor.” söz konusu.
“Tehdit aktörleri genellikle kötü amaçlı yazılımdan koruma programlarını dağıtım aşamasında kaldırmanın yollarını açıkladığından, dağıtılan kötü amaçlı yazılımı tespit etmek zordur.”
Alternatif dağıtım vektörleri, uzaktan erişim trojanının (RAT) sızdığı zombi bilgisayarlardan oluşan bir botnet’in kullanılmasını içerir. NanoÇekirdek RATyararlanan önceki faaliyetleri yansıtmaktadır. Nitol DDoS kötü amaçlı yazılımı Amadey Bot adlı başka bir kötü amaçlı yazılımı yaydığı için.
NiceRAT bir aktif olarak geliştirildi açık kaynaklı RAT ve hırsız kötü amaçlı yazılım Komuta ve kontrol için bir Discord Webhook (C2) kullanan Python ile yazılmış olup, tehdit aktörlerinin ele geçirilen ana bilgisayardan hassas bilgileri çekmesine olanak tanır.
İlk olarak 17 Nisan 2024 tarihinde yayınlanan programın güncel sürümü 1.1.0’dır. Aynı zamanda mevcut Geliştiricisine göre premium sürüm olarak, hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında tanıtıldığını öne sürüyor.
Gelişme şu sıralar geliyor geri dönmek bir kripto para madenciliği botnet’i Bondnet olarak anılan ve Fast Reverse Proxy (Fast Reverse Proxy) adı verilen meşru bir aracın değiştirilmiş bir versiyonu kullanılarak ters proxy yapılandırılarak 2023 yılından bu yana C2 sunucuları olarak yüksek performanslı madenci botları kullanılarak tespit edilen bir yazılımdır.CTP).