Crimson RAT (Truva Atı) Saldırısı ve Korunma Yolları

2013 yılından bu zamana kadar aktif olarak saldırını sürdüren Advanced Persistence Threat (APT) grubu olan Transparent Tribe korsanlarının Crimson Truva Atı (RAT) saldırısı ve yöntemleri keşfedildi. Cyble siber güvenlik araştırmacıları tarafından yapılan araştırmalar neticesinde PROJECTM ve MYTHIC LEOPARD olarak da bilinen bilgisayar korsan grubunun Crimson RAT olarak da bilinen bir .NET RAT (Uzaktan Erişim Truva Atı) saldırı türü ve çalışma mantığı açığa çıkarıldı.

Dünya genelinde oldukça yaygın olarak faaliyet gösteren, çeşitli devletlerin kontrolünde saldırılar gerçekleştirdiği düşünülen grubun genel saldırı amaçları arasında devletlere yönelik askeri casusluk faaliyetleri ve sistemlere sızılarak işlevsiz hale getirilmesi yer almakta. Bilgisayar korsan grubunun yakın zamanda keşfedilen ve bir word dosyasına gömülü kötü amaçlı bir makrodan oluşan .NET saldırısı Cyble araştırmacılarının ayrıntılı araştırmaları sonucunda tüm çalışma mantığı keşfedildi. Keşfedilen yeni word dosyasına gömülü .Net Rat saldırısının hedefinin Afganistan ve Hindistan lokasyonları olduğu belirlendi.

RAT Saldırısı öncelikle kurbanın cihazına zararlı yazılım içeren .word belgesinin indirilerek açılması ile birlikte aktif hale gelmekte. Aktif hale gelen zararlı yazılım kullanıcılara bir güvenlik endişesiyle ilgili bir bildirim gönderir ve içeriğin etkinleştirilmesi için izin verilmesi istenir. Alınan izinler ile birlikte bağlı olduğu sunucu üzerinden komut almaya başlayarak verileri toplamaya başlar.

OLE Nesnesi analizine göre, Document_open işlevinin Otomatik Yürütülmesi, yük dağıtımına ve ardından kurbanın makinesinde yürütülmesine yol açar.

Kötü amaçlı kelime makrosundan çıkarılan anahtar kelimeleri göstermektedir.

Arka planda RAT dosyasının (othvidtiraw.exe) aktif hale gelmesi ve cihaza yerleşmesi.

TÜR                                                        DEĞER
HASH                  d40b8c55edf7d7f118650135ee37080e8e296e635af5481e1a2850088524196c
HASH                  012eba6182006cf9772ff509896fc2a929b5fe3062f29ed70c451c8ebd393d27
HASH                  e16df177681e356ab8a9491e841fa1a757bc40069e2f42493b9238f0584cb9f1
HASH                  2db4365498a82081bce864196207c9478da3466167291ff7f36f93c9483fa624
HASH                  3e9d94714c78d02eedc5f9085982edd5b840950e65702d8ee1544b643733570b
HASH                  4c8e0459524380a9f00ffc58913f461c3e1d8737dd18252881f09e2d416e4f73
İP                        167.86.89.53
İP                        167.160.166.177

 

ÖNERİLERİMİZ:

Yukarıdaki IoC listesinde paylaşılan güvenlik sistemlerinizde listelenen karmaları, URL’leri ve diğer göstergeleri engellemenizi öneririz.    
Mali bilgiler de dahil olmak üzere kişisel bilgileri asla telefon, e-posta veya SMS üzerinden paylaşmayın.   
Güçlü parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı zorunlu kılın.   
Finansal işlemlerinizi düzenli olarak izleyin ve herhangi bir şüpheli etkinlik fark ederseniz derhal bankanızla iletişime geçin.   
Bilgisayarınızda, mobil cihazınızda ve diğer bağlı cihazlarda otomatik yazılım güncelleme özelliğini mümkün ve pratik olan her yerde açın.   
PC, dizüstü bilgisayar ve mobil dahil olmak üzere bağlı cihazlarınızda tanınmış bir anti-virüs ve İnternet güvenliği yazılım paketi kullanın.  
Güvenilir olmayan bağlantıları ve e-posta eklerini, orijinalliklerini doğrulamadan açmayın.  

Kaynak: Cyble

Hakkında Oğuzhan ÇALIŞKAN

Siber Güvenlik Araştırmacısı

Cevapla

E-posta adresiniz yayınlanmayacak. Required fields are marked *

*