Yeni Tehdit: AsyncRAT ile Credential Theft Tehlikesi
Son dönemlerde siber güvenlik alanında yaşanan gelişmeler, teknolojinin hem faydalarını hem de zararlarını gözler önüne seriyor. Son olarak, siber güvenlik araştırmacıları, ConnectWise ScreenConnect adlı meşru uzaktan yönetim yazılımını kullanan bir saldırı kampanyasını duyurdu. Bu kampanya, bu yazılımın meşru özelliklerini kötüye kullanarak, bilgisayar sistemlerine erişim sağlayan bir remote access trojan (RAT) olan AsyncRAT’ı kullanıyor.
Nasıl Bir Saldırı Gerçekleşti?
Saldırganlar, ScreenConnect üzerinden uzaktan erişim sağlayarak, karmaşık bir VBScript ve PowerShell yükleyicisi çalıştırdılar. Bu yükleyici, dış URL’lerden obfuscate edilmiş bileşenleri çekip çalıştırmak için tasarlanmıştı. LevelBlue şirketinin raporuna göre, bu bileşenler, AsyncRAT’ı açığa çıkartan kodlanmış .NET bileşenleri içeriyordu. Ek olarak, saldırganlar, bir sahte “Skype Updater” planlı görevi aracılığıyla sistemde kalıcılık sağlamayı başardılar.
Uzmanlar, saldırı zincirini incelediklerinde, tehdit aktörlerinin gizli bir ScreenConnect dağıtımını kullanarak uzaktan oturum açtıklarını ve felaket anında bir Visual Basic Script bileşeni başlattıklarını ortaya koydular. Temas halinde yaşanan bu eylemler, yalnızca hızlı bir uzaktan erişim sağlamakla kalmayıp aynı zamanda kullanıcıların kişisel bilgilerini çalma tehlikesini de artırıyor.
Phishing ile Yayılım
Bu tehditin yayılmasında önemli bir rol, phishing yani oltalama e-postaları. Sean Shirley, LevelBlue MDR SOC analisti, bu tür e-postalar üzerinden ikna edici görünümlerle sunulan trojanize ScreenConnect yükleyicilerinin gönderildiğini belirtti. Saldırganlar finansal ve çeşitli iş belgeleri gibi görünen içeriklerle kullanıcıları kandırarak bu zararlı yazılımı dağıtıyorlar.
Yükleyici: PowerShell ile İleri Düzey Kötü Amaçlı Yazılım
Bu kampanyada kullanılan yükleyici, PowerShell betiği ile tasarlanmış. İki dış yük arşivini (“logs.ldk” ve “logs.ldr”) bir saldırgan kontrolündeki sunucudan almak için kullanılıyor. Bu dosyaların ilki olan “logs.ldk”, diğer Visual Basic betiğini diske yazma görevini üstlenen bir DLL’dir. Zararlı yazılım, bu betiği kullanarak planlı bir görev oluşturarak kalıcılık sağlamayı başarıyor. Kendi başına bir görev gibi görünmesi için, kullanıcıları kandırmak amacıyla “Skype Updater” adıyla çalışıyor.
Bir kez başlatıldığında, Visual Basic betiği, saldırının başlangıcında gözlemlenen benzer PowerShell mantığını içeriyor. Planlı görev, her kullanıcının oturum açtığında bu zararlı yazılımın otomatik olarak çalışmasını sağlıyor.
AsyncRAT’ın Zararları
Söz konusu PowerShell betiği, öncelikle “logs.ldk” dosyasını .NET bileşeni olarak yüklerken, “logs.ldr” dosyasını yüklü bileşene girdi olarak geçiriyor. Bu işlem, AsyncRAT yükünü çalıştıran bir ikili dosya olan “AsyncClient.exe”nin çalıştırılmasına yol açıyor. AsyncRAT, klavye tuşlarını kaydetmek, tarayıcı kimlik bilgilerini çalmak, sistemi parmak izi ile tanımak ve Google Chrome, Brave, Microsoft Edge, Opera ve Mozilla Firefox gibi tarayıcılarda kurulu kripto para cüzdanlarını taramak gibi yeteneklere sahip.
Bilgilerin Sızdırılması
Toplanan bu bilgiler, komut ve kontrol (C2) sunucusuna (“3osch20.duckdns[.]org”) aktarılarak kullanılmak üzere bekletiliyor. Zararlı yazılım, bu sunucu üzerinden iletişim kurarak yeni yükleri çalıştırma ve çıkış sonrası komut alma işlevi görüyor. C2 bağlantı ayarları ya kod içinde sabit yazılmış ya da uzaktan bir Pastebin URL’sinden alınmıştır.
Modern Siber Güvenlik Zorlukları
LevelBlue, dosyasız zararlı yazılımların, modern siber güvenlik savunmaları için önemli bir tehdit oluşturduğunu belirtiyor. Bu tür tehlikeler, meşru sistem araçlarına dayandıkları için oldukça sinsi bir şekilde çalışıyorlar. Geleneksel zararlı yazılımların aksine, dosyasız tehditler bellekte çalışıyor ve bu da onları tespit, analiz ve ortadan kaldırma açısından daha zor hale getiriyor.
Gelecekte, kullanıcıların ve organizasyonların siber güvenlik önlemlerini artırması, bu tür tehditlere karşı daha etkili koruma sağlamaları açısından oldukça önemlidir. Eğitim, önlem ve bilinçlenme, siber tehditlere karşı verilmesi gereken öncelikli yanıtlar olmalıdır.
