Kimliği belirsiz saldırganlar, ortamları gözetleyen ve daha fazla kötü amaçlı yazılım gönderebilen, kimlik bilgilerini toplayan yeni bir uzaktan erişim trojanını (RAT) yayıyor; şimdiye kadar esas olarak Latin Amerika’daki madencilik ve üretim sektörünü hedef aldılar.
Popüler POCO C++ kütüphanelerini bir kaçınma taktiği olarak kullanması nedeniyle Poco RAT olarak adlandırılan kötü amaçlı yazılım, e-posta kampanyası ilk olarak madencilik sektöründe ismi açıklanmayan bir LATAM şirketini sert bir şekilde vurduğu keşfedildi. Bu şirket, kötü amaçlı yazılımı keşfeden ve bugün bir rapor yayınlayan araştırmacıları Cofense’e göre kampanyanın e-posta hacminin %67’sini aldı. Ancak o zamandan beri Poco RAT (adı aynı zamanda İspanyolcada “biraz” anlamına gelen kelimeyi de içeriyor) sırasıyla üretim, konaklama ve kamu hizmeti kuruluşlarını hedef aldı.
Araştırmacılar, RAT’ı yaymak için kullanılan e-postaların tutarlı bir örüntüyü takip ettiğini ve bu sayede kampanyanın telaşını takip etmenin kolay olduğunu belirtti. Hem konu hem de mesaj gövdesi İspanyolca ve kullanıcıları cezbetmek için faturaları içerdiğini iddia etmek gibi finans temaları kullanıyor. E-postanın içinde kötü amaçlı Google sürücü ve HTML dosyaları, bu dosyalarda farkında olmayan hedefler Poco RAT yuvalanmasını bulabilirler.
“Tehdit aktörleri genellikle aşağıdaki gibi meşru dosya barındırma hizmetlerini kullanır: Google sürücü Yıllar boyunca çeşitli aktörler ve gelişmiş sürekli tehdit (APT) grupları tarafından kullanılan bir taktik olan “güvenli e-posta ağ geçitlerini (SEG’ler) atlatmak” rapor.
Saldırganlar, aynı teslimat sonucunu elde etmek için üç yöntem kullandı. Mesajların çoğu, Poco RAT yükünü Google Drive’da barındırılan bir 7zip arşivine doğrudan bir bağlantı yoluyla gizlerken, yaklaşık %40’ı, Google’ın hizmetinde barındırılan bir 7zip arşivini indiren gömülü bir bağlantıya sahip kötü amaçlı bir HTML dosyası kullandı. Bu arada, araştırmacılar, mesajların yaklaşık %7’sinin, Google Drive’da barındırılan 7zip arşivini indirmek için ekli bir PDF dosyası kullandığını buldu.
Yeni Bir Kötü Amaçlı Yazılımın İşlevselliği ve Kaçınma Taktikleri
Cofense’e göre Poco RAT, anti-analiz odaklı, komuta ve kontrol sunucusuyla (C2) iletişim kuran ve şu ana kadar ortamı izlemek, kimlik bilgilerini toplamak veya fidye yazılımı dağıtmak için kullanılan dosyaları indirip çalıştıran özel olarak oluşturulmuş bir kötü amaçlı yazılımdır.
Kötü amaçlı yazılım, kurbanlar arasında tutarlı bir davranış sergiliyor ve genellikle bir kayıt defteri anahtarı aracılığıyla yürütüldüğünde kalıcılık sağlıyor. Daha sonra, yalnızca birkaç şekilde modern bir Windows işletim sisteminde meşru bir şekilde çalışabilen meşru işlem grpconv.exe’yi başlatıyor, araştırmacılar belirtti.
Cofense’e göre, yürütülebilir dosyanın kendisi Delphi programlama dilinde yazılmış ve bazen UPX aracılığıyla paketlenmiştir ve “her yürütülebilir dosyada alışılmadık miktarda Exif meta verisi bulunur.” Meta veriler genellikle rastgele bir şirket adı, dahili ad, orijinal dosya adı, ürün adı, yasal telif hakları ve ticari markalar ve çeşitli sürüm numaralarını içerir.
Çalıştırıldıktan sonra Poco RAT, statik bir C2’ye bağlanır ve iletişim kurar ve en azından üç bağlantı noktasından birine bağlanır: 6541, 6542 veya 6543. Enfekte olmuş bir bilgisayarın coğrafi konumu Latin Amerika’da değilse, C2, RAT’ın iletişim kurma girişimlerine yanıt vermez.
Eğer enfekte bilgisayar Latin Amerika’da görünüyorsa, RAT iletişim kuruyor, teknoloji ortamı hakkında temel bilgileri gönderiyor ve diğer kötü amaçlı yazılımları iletmek için dosyaları indirip çalıştırıyor.
Poco RAT, e-posta güvenliğini atlatmak için Google Drive bağlantılarını kullanmanın yanı sıra masaüstü ve mobil uygulamalara ağ işlevselliği eklemek için kullanılan çapraz platformlu, açık kaynaklı POCO C++ kitaplıklarına olan güvenini de kullanır. Cofense’e göre, RAT tarafından kullanımı, “kötü amaçlı yazılımın kendi özel kodunu veya daha az kullanılan bir kitaplığı kullanması durumundan daha az tespit edilme olasılığını” artırır.
Poco RAT için Tespit ve Azaltma
Cofense’e göre, Poco RAT’ı tespit etmek ve azaltmak için kuruluşların tehdit aktörünün Google Drive bağlantılarını kullanımına odaklanması yerinde olacaktır.
“SEG’ler ve savunmalar Google Drive bağlantılarını gayri meşru olarak ele alacak şekilde ayarlanırsa … Poco’nun büyük çoğunluğu RAT kampanyaları “Kolayca önlenebilir” denildi.
Cofense, RAT’ın “şu anda bilinen her örneğini” algılayıp durduracak olan C2 adresi 94.131.119.126’ya giden tüm ağ trafiğini engellemeyi ve izlemeyi öneriyor. Saldırganlar gelecekte farklı bir C2’ye geçerse, kuruluşlar ayrıca grpconv.exe çalıştırıldığında uyarı verecek şekilde savunmaları ayarlayabilirler; bu da Cofense’e göre “nadiren meşru bir şekilde gerçekleşen bir şeydir” ve Poco RAT’ın sistemlerini tehlikeye atmasını önler.