Chaos RAT: Yeni Bir Tehdit
Son zamanlarda, Chaos RAT adı verilen yeni bir uzaktan erişim trojanının (RAT) ortaya çıkması, siber güvenlik uzmanlarının dikkatini çekmiştir. Bu yazılım, hem Windows hem de Linux sistemlerini hedefleyen saldırılarda kullanılmaktadır. Acronis’in raporuna göre, bu kötü amaçlı yazılım, kurbanları Linux ortamları için bir ağ sorun giderme aracı indirmeye ikna ederek dağıtılmaktadır.
Yazılımın Özellikleri
Chaos RAT, Golang programlama diliyle yazılmış, açık kaynaklı bir uzaktan erişim aracıdır. Hem Windows hem de Linux sistemleri için çapraz platform desteği sunmaktadır. Güvenlik araştırmacıları Santiago Pontiroli, Gabor Molnar ve Kirill Antonenko, bu yazılımın popüler çerçeveler olan Cobalt Strike ve Sliver’dan ilham aldığını belirtmektedir. Kullanıcıların payload oluşturmasına, oturumlar kurmasına ve ele geçirilmiş makineleri kontrol etmesine olanak tanıyan bir yönetim paneli sunmaktadır.
Tarihçe ve Kullanım Alanları
Chaos RAT’ın gelişimine 2017 yılında başlanmış, ancak ilk kez dikkat çekmesi Aralık 2022‘de, Linux sistemlerinde barındırılan kamuya açık web uygulamalarını hedef alan kötü niyetli kampanyada kullanılmaya başlamasıyla olmuştur. Yazılım kurulduğunda, harici bir sunucuya bağlanarak komut beklemekte, ters shell başlatma, dosya yükleme/indirme/silme, ekran görüntüsü alma, sistem bilgilerini toplama gibi işlemleri gerçekleştirmektedir.
Son sürüm olan 5.0.3, 31 Mayıs 2024’te piyasaya sürülmüştür. Acronis’in belirttiğine göre, kötü amaçlı yazılımın Linux varyantları sıklıkla kripto para madenciliği kampanyalarıyla ilişkilendirilmiştir. Bu kampanyalar, kurbanlara gönderilen phishing e-postaları aracılığıyla gerçekleştirilen saldırılarla başlamaktadır.
Dağıtım Yöntemleri
Chaos RAT, genellikle kurbanlara kötü niyetli bağlantılar veya ekler içeren phishing e-postaları yoluyla dağıtılmaktadır. Kurbanlar, bu e-postalardaki bağlantılara tıklayarak kötü amaçlı yazılımı indirmekte ve cihazlarına yüklemektedir. Yapılan analizlere dayanarak, özellikle "NetworkAnalyzer.tar.gz" adı altında sunulan örneklerin, kullanıcıları yanıltarak kötü amaçlı yazılım indirmelerine neden olduğu tespit edilmiştir.
Teknik Yetenekleri ve Zafiyetler
Chaos RAT, bir dizi teknik yeteneğe sahiptir. Malware, ele geçirilmiş makinelere ters shell başlatmak, dosyaları düzenlemek, ekran görüntüsü almak ve çeşitli sistem bilgilerini toplamak gibi işlevlere sahiptir. Ancak bu yazılımın yönetim panelinde, komut enjeksiyonu ve cross-site scripting gibi güvenlik açıkları da bulunmaktadır. Örneğin, CVE-2024-30850 zafiyeti ile CVE-2024-31839 zafiyeti, yetkisiz bir şekilde sunucuda kod çalışmasına olanak tanımaktadır. Bu zafiyetler, Mayıs 2024’te yazılımın bakımcısı tarafından düzeltilmiştir.
Açık Kaynak ve Atıf Zorlukları
Chaos RAT’ın gelişimi, tehdit aktörlerinin açık kaynak araçları nasıl silahlandırdığını bir kez daha göstermektedir. Güvenlik uzmanları, bir geliştirici aracı olarak başlayan şeyin, kısa sürede bir saldırganın tercihi haline gelebileceğine dikkat çekmektedir. Ortak açık kaynak kötü amaçlı yazılımlarının kullanılması, APT gruplarının günlük siber suçlar arasında kaybolmasına yardımcı olmaktadır. Aynı açık kaynak kötü amaçlı yazılımlarını kullanan birden fazla aktör, atıf çabalarını karmaşık hale getirmektedir.
Son Gelişmeler ve Diğer Tehditler
Chaos RAT’ın ortaya çıkışı, aynı zamanda Trust Wallet kullanıcılarını hedef alan yeni bir kampanyanın başlamasıyla çakışmaktadır. Bu kampanya, sahte indirme bağlantıları veya phishing e-postaları aracılığıyla dağıtılmaktadır. Amaç, kullanıcıların tarayıcı kimlik bilgilerini ele geçirmek, masaüstü cüzdanlardan veri çıkartmak ve komutlar yürütmektir. Araştırmacılar, malware’in wallet dosyalarını tarayabildiğini, panodaki verileri yakalayabildiğini ve özel anahtarları çalabildiğini belirtmektedir.
Bu gelişmeler, siber güvenlik alanında dikkat edilmesi gereken yeni tehditleri işaret etmektedir. Özellikle Chaos RAT’ın yalnızca bir örnek olduğu ve siber suçluların sürekli olarak yeni yöntemler geliştirdiği unutulmamalıdır.
