Siber Güvenlik

Kritik: Kötü Amaçlı LNK Dosyaları ile RDP’yi Ele Geçiren Rus Aracı

teknomers
teknomers

Giriş

Son dönemde siber güvenlik araştırmacıları, kötü niyetli Windows kısayol dosyaları aracılığıyla yayılan Rus menşeli bir uzaktan erişim araç seti (kit) keşfetti.  CTRL  olarak adlandırılan bu araç, kötü amaçlı yazılımların dağıtımı açısından büyük bir tehdit oluşturmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

 CTRL  toolkit, Censys’e göre özel olarak .NET kullanılarak geliştirilmiş bir araçtır ve aşağıdaki işlevleri içermektedir:

  • Kredensiyel avlamayı hızlandırma
  • Tuş kaydı yapma (keylogging)
  • Remote Desktop Protocol (RDP) oturumlarını ele geçirme
  • Fast Reverse Proxy (FRP) aracılığıyla ters tünelleme

Araç setinin dağıtım süreci, “Private Key #kfxm7p9q_yek.lnk” adlı silahlandırılmış bir LNK dosyası ile başlar. Bu dosya, kullanıcıları kandırarak çift tıklamaya yönlendirmeyi amaçlayarak klasör simgesiyle gizlenmiştir. Bu eylem sonucunda, çok aşamalı bir süreç devreye girer; her aşama bir sonraki aşamayı şifrelerinden veya sıkıştırılmış dosyalardan çözerek açar.

Etkilenen Sistemler

Çalışma sistemi, kullanıcının Windows başlatma klasöründeki mevcut kalıcılık mekanizmalarını silmek için tasarlanmış gizli bir PowerShell komutunu başlatır. Daha sonra, TCP bağlantısını test eder ve hui228[.]ru:7000 adresinden sonraki aşama yüklerini indirir. Ayrıca, güvenlik duvarı kurallarını değiştirir, kalıcılık sağlamak için planlanmış görevler oluşturur, arka kapı yerel kullanıcıları kurar ve FRP tüneli üzerinden erişilebilir cmd.exe shell sunucusu oluşturur.

Çözüm ve Korunma

 CTRL  adlı kötü amaçlı yazılım, aşağıdaki dosyaları indirip kullanmaktadır:

  • FRPWrapper.exe: Ters tüneller kurmak için bellek içerisine yüklenecek bir Go DLL’dir.
  • RDPWrapper.exe: Sınırsız eşzamanlı RDP oturumları sağlar.

Araç seti, her biri denetimli iletişim ve gizlilik sağlamaktadır. Tüm veri sızıntıları FRP tüneli üzerinden RDP aracılığıyla gerçekleştirilmekte ve bu sayede geleneksel C2 izlerinin bırakılması önlenmektedir.

Aksiyon

Okuyuculardan, en kısa sürede ilgili sistemlerde güncellemeler yapmasını ve potansiyel olarak etkilenmiş LNK dosyalarını kaldırmasını öneriyoruz. Ayrıca, güvenlik duvarı kurallarını sıkılaştırarak ve şüpheli trafik üzerinde dikkatli izleme yaparak olası saldırı girişimlerini minimize etmeleri önem arz etmektedir.

Samsung, Galaxy Z Fold 7 ve Z Flip 7 ile önemli yenilikler sunuyor.
Lada Vesta 6 vitesli bir şanzıman ile satışlar başladı, fiyat açıklandı
Meta Elektrik Ticareti ile Veri Merkezlerine Enerji Sağlayacak!
Microsoft, Raspberry Robin USB Worm’u Rus Evil Corp Hacker’larına Bağladı
OnePlus, Gemini ile Apple’ın AI eksikliğini açığa çıkarıyor.
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Beyin İmplantıyla Müzik Yapan Adam: Galen Buckwalter’ın Hikayesi
Sonraki Makale Starcloud Uzayda Veri Merkezleri Kurmak İçin Büyük Bir Adım Attı

Sanal Medya

Son Eklenenler

Tifa Street Fighter 6’nın Dördüncü Sezonuna Katılıyor
Oyun
Antivaksin Tanışma Uygulamaları Gerçek Hayata Taşınıyor: Tepkiler Artıyor!
Genel
Finlandiya, Denizaltı Kablolarını Korumak İçin Yeni Sistem Kurdu
Donanım
VV Ultimatum Kodları ile Yeni Dönem Başlıyor
Oyun
Kritik Miasma Kıskacında: 73 Microsoft GitHub Deposuna Sızma İddiası
Siber Güvenlik
Kripto Fonlu Çin Peptit Laboratuvarlarının Hızla Büyüme Sırrı Nedir?
Genel