Siber Güvenlik

Kritik: Kötü Amaçlı LNK Dosyaları ile RDP’yi Ele Geçiren Rus Aracı

teknomers
teknomers

Giriş

Son dönemde siber güvenlik araştırmacıları, kötü niyetli Windows kısayol dosyaları aracılığıyla yayılan Rus menşeli bir uzaktan erişim araç seti (kit) keşfetti.  CTRL  olarak adlandırılan bu araç, kötü amaçlı yazılımların dağıtımı açısından büyük bir tehdit oluşturmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

 CTRL  toolkit, Censys’e göre özel olarak .NET kullanılarak geliştirilmiş bir araçtır ve aşağıdaki işlevleri içermektedir:

  • Kredensiyel avlamayı hızlandırma
  • Tuş kaydı yapma (keylogging)
  • Remote Desktop Protocol (RDP) oturumlarını ele geçirme
  • Fast Reverse Proxy (FRP) aracılığıyla ters tünelleme

Araç setinin dağıtım süreci, “Private Key #kfxm7p9q_yek.lnk” adlı silahlandırılmış bir LNK dosyası ile başlar. Bu dosya, kullanıcıları kandırarak çift tıklamaya yönlendirmeyi amaçlayarak klasör simgesiyle gizlenmiştir. Bu eylem sonucunda, çok aşamalı bir süreç devreye girer; her aşama bir sonraki aşamayı şifrelerinden veya sıkıştırılmış dosyalardan çözerek açar.

Etkilenen Sistemler

Çalışma sistemi, kullanıcının Windows başlatma klasöründeki mevcut kalıcılık mekanizmalarını silmek için tasarlanmış gizli bir PowerShell komutunu başlatır. Daha sonra, TCP bağlantısını test eder ve hui228[.]ru:7000 adresinden sonraki aşama yüklerini indirir. Ayrıca, güvenlik duvarı kurallarını değiştirir, kalıcılık sağlamak için planlanmış görevler oluşturur, arka kapı yerel kullanıcıları kurar ve FRP tüneli üzerinden erişilebilir cmd.exe shell sunucusu oluşturur.

Çözüm ve Korunma

 CTRL  adlı kötü amaçlı yazılım, aşağıdaki dosyaları indirip kullanmaktadır:

  • FRPWrapper.exe: Ters tüneller kurmak için bellek içerisine yüklenecek bir Go DLL’dir.
  • RDPWrapper.exe: Sınırsız eşzamanlı RDP oturumları sağlar.

Araç seti, her biri denetimli iletişim ve gizlilik sağlamaktadır. Tüm veri sızıntıları FRP tüneli üzerinden RDP aracılığıyla gerçekleştirilmekte ve bu sayede geleneksel C2 izlerinin bırakılması önlenmektedir.

Aksiyon

Okuyuculardan, en kısa sürede ilgili sistemlerde güncellemeler yapmasını ve potansiyel olarak etkilenmiş LNK dosyalarını kaldırmasını öneriyoruz. Ayrıca, güvenlik duvarı kurallarını sıkılaştırarak ve şüpheli trafik üzerinde dikkatli izleme yaparak olası saldırı girişimlerini minimize etmeleri önem arz etmektedir.

iPad 2022 için tasarım sızıntısı: Sonunda USB-C ile mi?
Nvidia Hotfix, Perşembe günkü sürücü sürümünden sonra kalan siyah ekran sorunlarını ele almak için geldi
Chatgpt uygulaması yakında Sora ile AI videoları oluşturabilir
Microsoft, Rus casusları tarafından yapılan saldırı girişimlerini engellediğini söyledi
Cisco, Suistimal Girişimleri Sonrası IOS ve IOS XE Yazılımındaki Güvenlik Açığı Konusunda Uyardı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Beyin İmplantıyla Müzik Yapan Adam: Galen Buckwalter’ın Hikayesi
Sonraki Makale Starcloud Uzayda Veri Merkezleri Kurmak İçin Büyük Bir Adım Attı

Sanal Medya

Son Eklenenler

4K Blu-ray’lerde Babalar Günü Öncesi Üç Tane 33 Dolar
Liste
Heyecan Verici Bir Yolculuk: God of War Laufey’in Yönetmeni Taraftarları Bekliyor
Oyun
Dan Greaney’nin İlk Başkanlık Kampanya Mitingi: Şaka Değil!
Genel
$6000 kamyon oyun sistemine büyük güncelleme: Yeni koltuk ve aksesuarlar
Donanım
Xbox Game Pass PC’de Hala Canlı; Bunun Nedeni Microsoft Değil
Oyun
Sosyal Medya: Gelecek Nesil Uygulamalarla Tanışın
Genel