Gh0st RAT olarak bilinen uzaktan erişim trojanının, Çince konuşan Windows kullanıcılarını hedef alan bir drive-by indirme planının parçası olarak Gh0stGambit adlı “kaçamaklı bir dropper” tarafından dağıtıldığı gözlemlendi.
Bu enfeksiyonlar sahte bir web sitesinden (“chrome-web”) kaynaklanmaktadır.[.]com”) adlı kötü amaçlı yükleyici paketlerinin Google’ın Chrome tarayıcısı gibi görünmesi, web üzerinde yazılım arayan kullanıcıların hedef alındığını gösteriyor.
Gh0st RAT, 2008’den beri yaygın olarak gözlemlenen ve yıllar içinde başta Çin bağlantılı siber casusluk grupları tarafından düzenlenen kampanyalarda farklı varyantlar halinde ortaya çıkan uzun süredir var olan bir kötü amaçlı yazılımdır.
Truva atının bazı versiyonları daha önce de zayıf güvenlikli MS SQL sunucu örneklerine sızarak, bunu Gizli açık kaynaklı rootkit’i kurmak için bir kanal olarak kullanarak konuşlandırılmıştı.
Siber güvenlik firması eSentire’a göre, keşfetti Son faaliyette, Çince konuşan kullanıcıları hedeflemenin “kötü amaçlı yazılımın veri hırsızlığı ve savunma kaçınması için hedeflediği Çince web tuzakları ve Çince uygulamalarının kullanılmasına” dayandığı belirtildi.
Sahte web sitesinden indirilen MSI yükleyicisi iki dosya içeriyor, biri meşru Chrome kurulum yürütülebilir dosyası, diğeri ise kötü amaçlı bir yükleyici (“WindowsProgram.msi”). İkincisi, Gh0stGambit’i yüklemekten sorumlu kabuk kodunu başlatmak için kullanılıyor.
Dropper, Gh0st RAT’ı almak için bir komuta ve kontrol (C2) sunucusuyla bağlantı kurmadan önce güvenlik yazılımlarının (örneğin, 360 Safe Guard ve Microsoft Defender Antivirus) varlığını kontrol eder.
eSentire, “Gh0st RAT, C++ dilinde yazılmıştır ve işlemleri sonlandırma, dosyaları kaldırma, ses ve ekran görüntüsü yakalama, uzaktan komut çalıştırma, tuş kaydı tutma, veri sızdırma, rootkit yetenekleri aracılığıyla kayıt defterini, dosyaları ve dizinleri gizleme ve daha birçok özelliği bünyesinde barındırmaktadır” dedi.
Ayrıca Mimikatz’ı devre dışı bırakabilir, tehlikeye atılan ana bilgisayarlarda RDP’yi etkinleştirebilir, Tencent QQ ile ilişkili hesap tanımlayıcılarına erişebilir, Windows olay günlüklerini temizleyebilir ve 360 Secure Browser, QQ Browser ve Sogou Explorer’dan verileri silebilir.
Kanadalı şirket, eser paylaşımlarının AhnLab Güvenlik İstihbarat Merkezi (ASEC) tarafından HiddenGh0st takma adıyla takip edilen bir Gh0st RAT varyantıyla örtüştüğünü söyledi.
“Gh0st RAT, son birkaç yıldır APT ve suç grupları tarafından yaygın bir şekilde kullanıldı ve değiştirildi,” dedi eSentire. “Son bulgular, bu tehdidin, kullanıcıları aldatıcı bir web sitesinden kötü amaçlı bir Chrome yükleyicisini indirmeye kandıran, geçiş indirmeleri yoluyla dağıtıldığını vurguluyor.”
“Sürücü yoluyla yapılan indirmelerin sürekli başarısı, sürekli güvenlik eğitimi ve farkındalık programlarına olan ihtiyacı güçlendiriyor.”
Gelişme, Broadcom’un sahibi olduğu Symantec’in, kötü amaçlı PowerShell ve HTML kodu üretmek için muhtemelen Büyük Dil Modelleri’ni (LLM) kullanan kimlik avı kampanyalarında artış gözlemlediğini açıklamasının ardından geldi. Bu saldırılar, çeşitli yükleyici ve hırsızları indirmek için kullanılıyordu.
E-postalar “Rhadamanthys, NetSupport RAT, CleanUpLoader (Broomstick, Oyster), ModiLoader (DBatLoader), LokiBot ve Dunihi (H-Worm) dahil olmak üzere çeşitli yükleri indirmek için kullanılan kodlar” içeriyordu. Güvenlik araştırmacıları Nguyen Hoang Giang ve Yi Helen Zhang söz konusu“Bu saldırılarda kötü amaçlı yazılımları dağıtmak için kullanılan betiklerin analizi, bunların LLM’ler kullanılarak oluşturulduğunu gösteriyor.”