Giriş
Son dönemde, finansal motivasyonla hareket eden Rus siber saldırganların, Starland RAT adlı yeni bir uzaktan erişim trojani kullanarak kullanıcıların kimlik bilgilerini ve kripto para birimlerini çalmaya başladığı tespit edilmiştir. Bu tür saldırıların, özellikle ABD merkezli kullanıcılar üzerinde yoğunlaştığına dair bulgular mevcut.
Saldırı Nasıl Çalışıyor?
Saldırılar, en azından Haziran 2025’ten itibaren gerçekleşiyor ve etkili yazılımlar için trojanize edilmiş yükleyiciler kullanılıyor. Cisco Talos araştırmacıları, saldırıların genellikle MobaXterm, WebEx, Zoom, DBeaver ve FaceIT gibi meşru yazılımlar üzerinden yayıldığını belirtmektedir.
Ayrıca, araştırmacılar tespit edilen enfeksiyon vektörünü doğrulayamamış olsalar da, kötü amaçlı dosyaların muhtemelen ClickFix yöntemiyle yayıldığını öne sürüyor.
Saldırının başlangıcı, bir HTA dosyasının trojanize edilmiş bir NSIS yükleyicisini içeren Python yükleyicisini indirerek başlamasıyla gerçekleşiyor. Bu yükleyici, Windows Kayıt Defteri’ni değiştirerek kalıcılık sağlıyor ve ardından Starland uzaktan erişim trojanını (RAT) şifreli bir şekilde yüklüyor.
Starland çalıştırıldığında, kendisinin bir sanal ortamda çalışıp çalışmadığını kontrol ediyor, kalıcılık için zamanlanmış görevler ve Başlangıç klasörü öğeleri ekliyor ve ayrıcalıklarını artırmaya çalışıyor.
Etkilenen Sistemler
Malware, hedef alınan sistemde aşağıdaki gibi verileri arar:
- Tarayıcı verileri ve kripto para cüzdan varlıkları, 40’tan fazla masaüstü ve tarayıcı uzantısı cüzdanı dahil.
- Sistem detayları, HWID, RAM, işlemci, işletim sistemi, bilgisayar adı, bölge, genel IP adresi ve yüklü antivirüs ürünleri gibi.
- Etkin Dizin bilgileri, alan yapısı, alan denetleyicileri ve kurbanın alan ayrıcalıkları.
Starland RAT, aynı zamanda kurbanın masaüstünden ekran görüntüleri alabilir, kabuk komutları çalıştırabilir, 32 veya 64 bit shellcode ekleyebilir ve ek yükler (EXE, MSI, DLL, ZIP) indirebilir.
Gözlemlenen saldırılarda, 64 bit shellcode zinciri CastleStealer adlı bilgi çalan malwaresini, 32 bit zinciri ise Remcos uzaktan erişim trojanını (RAT) teslim ediyor. CastleStealer tarayıcı kimlik bilgilerini, kripto para cüzdan bilgilerini, Discord ve Telegram oturumlarını hedef alırken, Remcos RAT, tuş kaydetme, webcam ve ekran yakalama, ses kaydı, panoya izleme, dosya yönetimi ve uzaktan komut yürütme gibi işlevsellikler sunuyor.
Çözüm ve Korunma
Cisco Talos, malware’in komut ve kontrol (C2) iletişimi için, hardcoded adresinin erişilmesi başarısız olursa bir POLYGON akıllı sözleşmesini sorgulayarak bir yedek mekanizma kullandığını vurguluyor. Talos, UAT-11795’in, girdi ve iletişim için şifrelenmiş (PBKDF2-SHA256) beaconing kullanan daha önce belgelenmemiş bir PowerShell C2 çerçevesi olan WLDR’yi kullandığını keşfetti.
UAT-11795 saldırılarına karşı korunmak için, kuruluşların Cisco Talos raporundaki tehlike göstergelerini (IoC) kullanmaları önemlidir. Kullanıcıların çevrimiçi olarak buldukları komutları anladıklarından emin olmadan çalıştırmamaları ve yazılımları yalnızca onaylanmış resmi satıcı portallarından indirmeleri gerekir.
Aksiyon
Kullanıcılar, sistemlerini güncel tutmalı ve potansiyel saldırılara karşı koruma sağlamak için gerekli önlemleri almalıdır. Önerilen eylemler arasında:
- Yazılımları sürekli güncellemek.
- Güvenilmeyen kaynaklardan yazılım indirmemek.
- Antivirüs ve güvenlik duvarı uygulamalarını etkin tutmak.
Bu adımlarla, Starland RAT ve benzeri tehditlerden korunma sağlanabilir.


