Yeni Remcos RAT Malware Kampanyası ve Tehditleri
Son dönemlerde, siber güvenlik araştırmacıları, PowerShell tabanlı bir shellcode yükleyici kullanarak uzaktan erişim trojanı olan Remcos RAT’ı dağıtan yeni bir kötü amaçlı yazılım kampanyası konusunda uyarılarda bulundu. Bu tehditlerin kaynağı, LNK dosyalarını kötü niyetli ZIP arşivleri içerisinde gizleyerek kullanıcılara ulaştıran aktörlerdir. Qualys güvenlik araştırmacısı Akshay Thorve, teknik raporunda bu saldırı zincirinin başlangıç aşamasında proxy yürütme için mshta.exe kullanıldığını belirtiyor.
Saldırı Zinciri ve Kullanılan Yöntemler
Son saldırılar, vergi odaklı çekici unsurlar kullanarak, kullanıcıları kötü niyetli bir ZIP arşivini açmaya ikna ediyor. Bu arşiv, bir Windows kısayolu (LNK) dosyası içeriyor. Bu dosya, aynı zamanda mshta.exe‘yi kullanarak "xlab22.hta" adı verilen bir obfuscate edilmiş HTA dosyasını uzaktan bir sunucudan çalıştırıyor. HTA dosyası, Visual Basic Script kodu aracılığıyla bir PowerShell script’i indirmek üzere yapılandırılmıştır. Ek olarak, sahte bir PDF dosyası ve "311.hta" adı verilen başka bir HTA dosyasını da içeriyor. "311.hta" dosyası, Windows Kayıt Defteri’nde değişiklikler yaparak sistem başlangıcında otomatik olarak çalıştırılacak şekilde ayarlanıyor.
PowerShell script’i çalıştırıldığında, bir shellcode yükleyicisi oluşturuyor ve bu yükleyici, Remcos RAT payload’unu tamamen bellekte başlatıyor. Remcos RAT, siber casusluk ve veri hırsızlığı için mükemmel bir araç olan ve tehlikeli sistemlere tam kontrol sağlayan bir kötü amaçlı yazılımdır. Bu yazılım, Visual Studio C++ 8 kullanılarak derlenmiş 32 bit bir binary’dır. Kullanıcıların sistem metadatalarını toplama, tuş kaydetme, ekran görüntüleri alma ve açık süreçleri listeleme gibi yetenekleri bulunmaktadır.
Veri Exfiltrasyonu ve Kontrol Mekanizmaları
Remcos RAT, readysteaurants[.]com adresinde bulunan bir komut ve kontrol (C2) sunucusuna TLS bağlantısı kurarak sürekli bir veri çıkışı ve kontrol kanalı sağlıyor. Daha önce, bu türden bir dosyayı barındırmayan Remcos RAT örneklerine rastlamıştık. Örneğin, Fortinet FortiGuard Labs, Ekim 2024’te, sipariş temalı ikna edici unsurlar kullanarak kötü amaçlı yazılımı dosyasız bir şekilde dağıtan bir oltalama kampanyasını detaylandırdı.
Yapılan bu kampanyaların cazip olmasının sebeplerinden biri, kötü amaçlı kodun bilgisayar belleğinde doğrudan çalışması ve disk üzerinde çok az iz bırakmasıdır. SlashNext’ten J Stephen Kowski, "PowerShell tabanlı saldırıların artışı, tehdit aktörlerinin geleneksel güvenlik tedbirlerini aşmak için nasıl evrim geçirdiğini gösteriyor" diyor.
Yeni Yükleyici ve Diğer Tehditler
Açıklamaların ardından Palo Alto Networks Unit 42 ve Threatray, çok çeşitli ticari bilgi hırsızları ve RAT’ları tetiklemek için kullanılan yeni bir .NET yükleyici üzerinde duruyorlar. Bu yükleyici, nihai payload’u dağıtmak için üç aşamadan oluşmaktadır. İlk aşama, ikinci ve üçüncü aşamaları şifreli biçimde içeren bir .NET yürütülebilir dosyasından oluşuyor.
Unit 42, kötü niyetli payload’ları gizlemek için bitmap kaynaklarının kullanılmasını, geleneksel güvenlik mekanizmalarını aşabilen bir steganografi tekniği olarak tanımlıyor. Bu durum, kimlik bilgisi hırsızlığı ve kötü amaçlı yazılım dağıtımını hedefleyen birçok oltalama ve sosyal mühendislik kampanyasının da ortaya çıkmasıyla paraleldir.
Gelişen Oltalama Yöntemleri
Gelişen tehditler, yapay zeka (AI) destekli kampanyaların artışıyla daha da karmaşık hal almaktadır. Bu kampanyalar, tespit çabalarını aşmak için gerçek zamanlı olarak değişebilen polymorphic teknikler kullanmaktadır. Zamanla değişen e-posta konu başlıkları ve içerik, geleneksel tespit yöntemlerinden kaçmak için otomatikleştirilmektedir.
Cofense, "Yapay zeka, tehdit aktörlerine kötü niyetli yazılım geliştirme gücünü otomatikleştirme, saldırıları endüstriler boyunca ölçeklendirme ve oltalama mesajlarını cerrahi hassasiyetle kişiselleştirme yeteneği sağladı" ifadesinde bulunmuştur. Geleneksel güvenlik savunmalarının zayıflıkları göz önüne serilmektedir.
Siber güvenlik alanındaki bu gelişmeler ve tehditler, gelecekte daha da karmaşık ve tehlikeli hale gelebilir. Kullanıcıların çevrimiçi güvenliğini artırmak için kullanılan teknolojilerin geliştirilmesi kritik önem taşımaktadır. Uygun önlemler alınmazsa, bu tür kötü niyetli yazılımların daha da yaygınlaşacağı öngörülmektedir.
