Kaspersky’nin Yeni Siber Tehdit: GodRAT

GodRAT adı verilen uzaktan erişim truva atını (RAT) ortaya çıkaran Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), Skype üzerinden finans kurumlarına hedefli dağıtım yapan yeni bir tehdit tespit etti. Yetkililere göre kötü amaçlı ekran dosyalarıyla süslenen finansal belgeler olarak görünen zararlı içerikler, mart ayına kadar Skype üzerinden iletilip ardından diğer kanallara yayılmış durumda.

Truva atı, Birleşik Arap Emirlikleri (BAE), Hong Kong, Ürdün ve Lübnan’daki KOBİ’leri kapsayacak şekilde, saldırı ağını genişleterek sisteme sızmayı başarmış. Sızıntıların kaynağı olarak, geçen yıl temmuz ayında popüler bir çevrim içi tarayıcının müşteri tarafında ortaya çıkan güvenlik açığı gösteriliyor. “GodRAT V3.5_______dll.rar” adlı arşiv, GodRAT oluşturucuyu içeren bir paket olarak hem çalıştırılabilir hem de DLL biçiminde kötü amaçlı yükler üretme yeteneğine sahip.

Olası saldırı unsurları arasında, kötü amaçlı yüklerin gizlenmesi için çalıştırılabilir dosya adları olarak svchost.exe, cmd.exe, wscript.exe gibi meşru işlem adlarının kullanılması bulunuyor. Bu tehdit, çeşitli dosya biçimlerinde (exe, com, bat, scr, pif) saklanabiliyor ve son hedef olarak kullanıcıya görünür hale getiriliyor.

Steganografi yöntemiyle taranması ve tespit edilmeden finansal verilerin görüntülerdeki kabuk kodu aracılığıyla iletilmesi, GodRAT’ın C2 (komuta ve kontrol) sunucusuna bağlanmasını sağlıyor. Yapılandırma dosyasındaki bağlantı noktası üzerinden kurulan TCP bağlantısı ile komutlar iletiliyor. Ayrıca işletim sistemi ayrıntıları, yerel bilgisayar adı, kötü amaçlı işlemin adı ve kimliği ile kullanıcı hesabı gibi bilgiler toplanıyor; kurulum sürecinde yüklü antivirüs ve yakalama sürücüsü varlığı da taranıyor.

GodRAT yalnızca kendisiyle sınırlı kalmıyor; popüler tarayıcılar üzerinde de ek eklentileri destekleyerek sistemde keşif amacıyla FileManager eklentisini kullanıyor ve Chrome ile Microsoft Edge için şifre hırsızlığı sağlıyor. Geliştirilmiş bir sürümü olarak AsyncRAT’ı da uzun vadeli erişim amacıyla kullanıyorlar.

Kaspersky Güvenlik Araştırmacısı Saurabh Sharma, GodRAT’ın 2023’te rapor edilen ve muhtemelen Winnti APT ile ilişkili AwesomePuppet projesinin gelişmiş bir versiyonu olabileceğini belirtti. “Dağıtım yöntemleri, nadir komut satırı parametreleri ve Gh0st RAT ile benzer kod izi başlıkları, ortak bir kökene işaret ediyor” diyen Sharma, eski implantlar olan Gh0st RAT tabanlı kodların neredeyse 20 yıl sonra dahi tehdit aktörleri tarafından aktif olarak kullanıldığını hatırlattı. Bu eski araçların, günümüz güvenlik sahnesinde hâlâ geçerli olabileceğini vurguladı.

Uzmanlar, bu tür tehditlere karşı korunmak adına güncel yazılımların kullanılması, güvenlik açıklarının kapatılması ve kurumsal düzeyde gelişmiş güvenlik çözümlerinin uygulanması gerektiğini belirtti. Bireysel kullanıcılar için ise dosya adlarına karşı dikkatli olmak, uzantıları görünür kılmak ve özellikle .exe, .vbs ve .scr gibi şüpheli dosya uzantılarına sahip içerikleri açmamak gerektiği vurgulandı. Kaynak: AA / Kerem Alp Eren Kaya – Ekonomi