ChaosBot: Yeni Bir Siber Tehdit
Son dönemde, siber güvenlik araştırmacıları tarafından keşfedilen ChaosBot adlı yeni bir Rust tabanlı arka kapı, siber suçlulara ele geçirilen sistemlerde keşif yapma ve rastgele komutları yürütme fırsatı sağlıyor. Eylül 2025’in sonlarında, Kanada merkezli siber güvenlik firması eSentire, bir finans hizmetleri müşterisinin ortamında bu kötü amaçlı yazılımı ilk kez tespit etti.
Saldırganlar, hem Cisco VPN hem de aşırı yetkilendirilmiş bir Active Directory hesabı olan ‘serviceaccount’ ile ele geçirilen kimlik bilgilerini kullanarak, ağdaki sistemlere uzaktan komutlar yürütmek için WMI‘yi kullandı. Bu, ChaosBot‘un dağıtımını ve yürütülmesini kolaylaştırdı.
Discord ile Komut Kontrolü
ChaosBot için dikkat çekici bir özellik, Discord kullanımını içeriyor. Bu kötü amaçlı yazılım, operatör tarafından tutulan bir Discord profilinden adını alıyor. “chaos_00019” takma adıyla bilinen saldırgan, enfekte olmuş cihazlara uzaktan komutlar vermekten sorumlu. C2 (Komut ve Kontrol) operasyonları ile ilişkili bir diğer Discord kullanıcı hesabı ise lovebb0024.
Bunun yanı sıra, kötü amaçlı yazılım, phishing mesajları içeren bir Windows kısayol dosyasını (LNK) dağıtım aracı olarak da kullanıyor. Mesaj alıcısı, LNK dosyasını açarsa, bir PowerShell komutu çalıştırılıyor ve ChaosBot’u indirmek ve yürütmek için gerekli dosyaları indiriyor. Bu süreçte, Vietnam Devlet Bankası’ndan gelen meşru bir yazışma gibi görünen bir aldatmaca PDF dosyası da kullanılarak dikkat dağıtım mekanizması oluşturuluyor.
Yük, Microsoft Edge binary’si olan “identity_helper.exe” ile yan yükleme yapılan kötü amaçlı bir DLL’dir (“msedge_elf.dll”). Bu işlem sonrasında sistem keşfi yaparak, ağ üzerinde ters proxy açmak için hızlı bir ters proxy (FRP) indiriyor ve ele geçirilen ağa sürekli erişim sağlıyor. Saldırganlar ayrıca, görsel stüdyo kod tünel hizmetini yapılandırmaya çalışarak komut yürütme seçeneklerini daha da artırmaya çalıştılar.
Bağlantılı Komutlar ve İşlevsellik
ChaosBot‘un desteklediği bazı komutlar şunlardır:
- shell: PowerShell üzerinden shell komutları çalıştırmak için.
- scr: Ekran görüntüleri yakalamak için.
- download: Kurban cihazına dosyalar indirmek için.
- upload: Bir dosyayı Discord kanalına yüklemek için.
eSentire, ChaosBot’un yeni varyantlarının ETW (Event Tracing for Windows) ve sanal makineleri atlatma teknikleri kullandığını belirtiyor. İlk teknik, ntdll!EtwEventWrite’in ilk birkaç talimatını düzeltmeye dayanırken, ikinci teknik, sistemin MAC adreslerini VMware ve VirtualBox için bilinen sanal makine MAC adresi önekleriyle kontrol ediyor. Eğer bir eşleşme bulunursa, kötü amaçlı yazılım çalışmayı durduruyor.
Chaos Fidye Yazılımında Yeni Özellikler
Bu açıklama, Fortinet FortiGuard Labs tarafından bildirilen Chaos fidye yazılımının C++ versiyonuna ilişkin bilgilerle örtüşüyor. Bu yeni versiyon, büyük dosyaları şifrelemek yerine geri döndürülemez bir şekilde silme gibi yıkıcı yetenekler ekliyor. Ayrıca, içerik üzerinde değişiklik yaparak, kriptovarlık transferlerini dolandırıcıların cüzdanına yönlendirmek için clipboard içeriğini manipüle ediyor.
Fortinet’e göre, yıkıcı şifreleme ve gizli mali hırsızlık stratejileri, Chaos‘un finansal kazançları maksimize etmek için daha agresif ve çok yönlü bir tehdit olarak konumlanmasına katkıda bulunuyor.
Chaos-C++ fidye yazılımının indirici bileşeni, kullanıcıları System Optimizer v2.1 gibi sahte yardımcı programlar ile kandırarak yüklemeye teşvik ediyor. Önceki Chaos fidye yazılımının versiyonları ise OpenAI ChatGPT ve InVideo AI gibi isimler altında dağıtılmıştı.
Malware çalışmaya başladığında, “%APPDATA%READ_IT.txt” adlı bir dosyanın varlığını kontrol ediyor. Bu dosya mevcutsa, fidye yazılımının zaten makinada çalışmış olduğu anlamına geliyor. Eğer dosya yoksa, Chaos-C++, admin ayrıcalıkları ile çalışıp çalışmadığını kontrol ediyor ve eğer çalışıyorsa, sistem kurtarmayı engellemek için bir dizi komut çalıştırma sürecine başlıyor.
Chaos-C++ yalnızca tam dosya şifrelemesine güvenmek yerine, simetrik veya asimetrik şifreleme ve bir yedek XOR rutini de dahil olmak üzere çeşitli yöntemler kullanıyor. Bu çok yönlü indirici, başarılı bir yürütme sağlıyor ve fidye yazılımının çalışmasını daha sağlam ve kesintisiz hale getiriyor.
