Finans Kuruluşlarını Hedef Alan Sinsi Tehdit
Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), özellikle finans kurumları ve KOBİ’leri hedef alan yeni ve gelişmiş bir uzaktan erişim Truva atı (RAT) keşfetti. GodRAT adı verilen bu kötü amaçlı yazılım, ilk olarak Mart 2025’e kadar Skype Messenger aracılığıyla yayılarak önemli bir siber güvenlik tehdidi oluşturdu. Saldırıların odağında Birleşik Arap Emirlikleri, Hong Kong, Ürdün ve Lübnan’daki kuruluşlar yer aldı.
GodRAT’ın Çalışma Mekanizması ve Dağıtım Yöntemleri
Tehdit aktörleri, kurbanları kandırmak için finansal belgeler gibi görünen ancak aslında kötü amaçlı yazılım barındıran ekran koruyucu (.scr) dosyalarını kullandı. Tespit edilmekten kaçınmak için son derece karmaşık yöntemlere başvuran saldırganlar, steganografi tekniğiyle finansal veri görüntülerinin içine kabuk kodu yerleştirdi. Bu kod, GodRAT’ı bir Komuta ve Kontrol (C2) sunucusundan sessizce indiriyor.
GodRAT oluşturucu, saldırganlara büyük bir esneklik sunuyor. Kötü amaçlı yükü svchost.exe veya cmd.exe gibi meşru işlem isimleri altında gizleyebilen bu araç, son dosyayı .exe, .com, .bat, .scr ve .pif gibi çeşitli formatlarda kaydedebiliyor.
Toplanan Veriler ve İkincil Tehditler
Sistemde bir kez faaliyete geçen GodRAT, hemen C2 sunucusuna bir bağlantı kuruyor. Bu süreçte işletim sistemi detayları, ana bilgisayar adı, kullanıcı hesabı bilgileri, yüklü antivirüs yazılımı ve hatta yakalama sürücüsünün varlığı gibi kritik verileri topluyor. GodRAT’ın en tehlikeli yönlerinden biri de eklenti desteği. Saldırganlar, FileManager eklentisi ile sistemi keşfediyor ve Chrome ve Microsoft Edge tarayıcılarından şifre çalmak için özel şifre hırsızlarını dağıtabiliyor. Uzun vadeli erişimi garanti altına almak için ikincil bir implant olarak AsyncRAT da kullanılıyor.
Araştırmacıların Görüşü ve Geçmiş Bağlantılar
Kaspersky Güvenlik Araştırmacısı Saurabh Sharma, GodRAT’ın 2023’te rapor edilen ve Winnti APT grubuyla bağlantılı olduğu düşünülen AwesomePuppet’ın bir evrimi olabileceğini belirtti. Sharma, dağıtım yöntemleri, nadir komut satırı parametreleri ve Gh0st RAT ile olan kod benzerliklerinin ortak bir kökene işaret ettiğini vurguladı. Gh0st RAT gibi neredeyse yirmi yıllık bir araç tabanının bile modern tehdit aktörleri tarafından özelleştirilerek ve yeniden inşa edilerek kullanılmaya devam etmesi, siber tehditlerin kalıcı doğasını gözler önüne seriyor. Bu keşif, bilinen eski siber silahların bile günümüz dijital ortamında hala ne kadar etkili olabildiğinin bir kanıtı.
News
