Siber Güvenlik

Kritik: Kötü Amaçlı LNK Dosyaları ile RDP’yi Ele Geçiren Rus Aracı

teknomers
teknomers

Giriş

Son dönemde siber güvenlik araştırmacıları, kötü niyetli Windows kısayol dosyaları aracılığıyla yayılan Rus menşeli bir uzaktan erişim araç seti (kit) keşfetti.  CTRL  olarak adlandırılan bu araç, kötü amaçlı yazılımların dağıtımı açısından büyük bir tehdit oluşturmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

 CTRL  toolkit, Censys’e göre özel olarak .NET kullanılarak geliştirilmiş bir araçtır ve aşağıdaki işlevleri içermektedir:

  • Kredensiyel avlamayı hızlandırma
  • Tuş kaydı yapma (keylogging)
  • Remote Desktop Protocol (RDP) oturumlarını ele geçirme
  • Fast Reverse Proxy (FRP) aracılığıyla ters tünelleme

Araç setinin dağıtım süreci, “Private Key #kfxm7p9q_yek.lnk” adlı silahlandırılmış bir LNK dosyası ile başlar. Bu dosya, kullanıcıları kandırarak çift tıklamaya yönlendirmeyi amaçlayarak klasör simgesiyle gizlenmiştir. Bu eylem sonucunda, çok aşamalı bir süreç devreye girer; her aşama bir sonraki aşamayı şifrelerinden veya sıkıştırılmış dosyalardan çözerek açar.

Etkilenen Sistemler

Çalışma sistemi, kullanıcının Windows başlatma klasöründeki mevcut kalıcılık mekanizmalarını silmek için tasarlanmış gizli bir PowerShell komutunu başlatır. Daha sonra, TCP bağlantısını test eder ve hui228[.]ru:7000 adresinden sonraki aşama yüklerini indirir. Ayrıca, güvenlik duvarı kurallarını değiştirir, kalıcılık sağlamak için planlanmış görevler oluşturur, arka kapı yerel kullanıcıları kurar ve FRP tüneli üzerinden erişilebilir cmd.exe shell sunucusu oluşturur.

Çözüm ve Korunma

 CTRL  adlı kötü amaçlı yazılım, aşağıdaki dosyaları indirip kullanmaktadır:

  • FRPWrapper.exe: Ters tüneller kurmak için bellek içerisine yüklenecek bir Go DLL’dir.
  • RDPWrapper.exe: Sınırsız eşzamanlı RDP oturumları sağlar.

Araç seti, her biri denetimli iletişim ve gizlilik sağlamaktadır. Tüm veri sızıntıları FRP tüneli üzerinden RDP aracılığıyla gerçekleştirilmekte ve bu sayede geleneksel C2 izlerinin bırakılması önlenmektedir.

Aksiyon

Okuyuculardan, en kısa sürede ilgili sistemlerde güncellemeler yapmasını ve potansiyel olarak etkilenmiş LNK dosyalarını kaldırmasını öneriyoruz. Ayrıca, güvenlik duvarı kurallarını sıkılaştırarak ve şüpheli trafik üzerinde dikkatli izleme yaparak olası saldırı girişimlerini minimize etmeleri önem arz etmektedir.

RealMe Narzo 80 Pro 5G yakında Hindistan’da başlatmaktan kaçındı; MediaTek Dimensity 7400 SOC ile donatılacak
Hukuk firması iş akışları için bir SaaS olan Legl, 18 milyon dolar ile tamamlandı
Studio Display 5K Harici Monitörün Yanında M1 Ultra SoC ile Mac Studio Tanıtıldı
Yeni Kritik GitLab Güvenlik Açığı Keyfi CI/CD İşlem Hattı Yürütülmesine İzin Verebilir
Hileli Android Uygulamaları, Gelişmiş Casusluk Kampanyasında Pakistanlı Bireyleri Hedefliyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Beyin İmplantıyla Müzik Yapan Adam: Galen Buckwalter’ın Hikayesi
Sonraki Makale Starcloud Uzayda Veri Merkezleri Kurmak İçin Büyük Bir Adım Attı

Sanal Medya

Son Eklenenler

Final Fantasy 7 Yenilikleri İlk Fragmanı ile Gözler Önünde
Oyun
Kabuto Park Yaz Tatilinin Geçiciliğini Yakalıyor
Liste
Velotric Nomad 2: Stabilite ve Performansla Off-Road Keyfi!
Genel
Gigabyte Z890 Aorus Elite Wifi7 Plus Anakart İncelemesi: Uygun Fiyatlı Yenilikler
Donanım
Apple’ın Yeni Siri’si Yeniden Aramızda
Liste
2026’nın En İyi 2 Bluetooth Takip Cihazı ve Öne Çıkanlar
Genel