Rus Bilgisayar Korsanları Sahte Webex ve Zoom Yükleyicileriyle Yeni Starland RAT Virüsünü Yayıyor Yazılım

Rus Bilgisayar Korsanları Sahte Webex ve Zoom Yükleyicileriyle Yeni Starland RAT Virüsünü Yayıyor

Rusça konuşan UAT-11795 grubu, sahte Webex ve Zoom yükleyicileriyle Starland RAT ve WLDR bellek implantını yayıyor. Finansal motivasyonlu bu kampanya,

Cisco Talos araştırmacıları, 16 Temmuz'da yayınladıkları detaylı teknik raporda, Rusça konuşan ve finansal motivasyonlu bir tehdit aktörü olan UAT-11795'in, en az Haziran 2025'ten bu yana ABD ve Avrupa'daki kullanıcılara yönelik bir kötü amaçlı yazılım kampanyası yürüttüğünü açıkladı. Operasyon, BT profesyonelleri ve geliştiricilerin gerçekten kullandığı yazılımların (MobaXterm, Cisco Webex, Zoom, DBeaver ve hatta oyun platformu FACEIT) trojanize edilmiş yükleyicilerini dağıtıyor. Rapora göre, hedef yelpazesinin geliştirici araçlarından iş birliği yazılımlarına ve oyun platformlarına kadar uzanması, saldırganların belirli bir sektöre odaklanmak yerine farklı türden kullanıcıları enfekte etmeye çalıştığını gösteriyor.

Kampanya iki yeni belgelenmiş kötü amaçlı yazılım ailesi kullanıyor. İlki Starland RAT, Python tabanlı bir uzaktan erişim aracı olup kimlik bilgisi hırsızlığı ve kripto para cüzdanı numaralandırması yapabiliyor. İkincisi ise WLDR ajanı, tamamen bellekte çalışan PowerShell tabanlı bir komuta ve kontrol implantı. Her ikisi de yeni keşfedilmiş yazılımlar. Talos ayrıca, aktörün ilk ele geçirmeden sonra Starland aracılığıyla CastleStealer ve Remcos RAT'ı ek yük olarak dağıttığını gözlemledi.

İlk erişim, ClickFix sosyal mühendislik tekniğiyle sağlanıyor. Kurban, sessizce bir kötü amaçlı HTA dosyasını indiren ve çalıştıran bir komutu çalıştırması için kandırılıyor. Bu HTA dosyası, bir Windows toplu iş dosyası ve trojanize bir yükleyici bırakırken, aynı zamanda her kullanıcı girişinde HTA'yı yeniden çalıştıran bir kayıt defteri Run anahtarı aracılığıyla kalıcılık sağlıyor. VBScript içinde bulunan Rusça bir geliştirici yorumu ("Добавление команды в автозапуск для текущего пользователя"), aktörlerin Rusça konuştuğunu ve geliştirme notlarını dağıtılan kodda bıraktıklarını doğruluyor.

Trojanize yükleyiciler, Nullsoft Scriptable Install System kullanılarak oluşturuluyor. Gerçek bir Python çalışma zamanını, LICENSE.txt dosyası gibi gizlenmiş derlenmiş bir Python yükleyiciyle birlikte paketliyorlar. NSIS betiği, yükleyiciyi çalıştırıyor; bu yükleyici, Starland RAT'ı tek baytlık bir XOR anahtarı kullanarak şifresini çözüyor ve doğrudan bellekte çalıştırıyor. Gerçek yazılım kurulumu normal şekilde devam ediyor, bu nedenle kurban beklediğini görüyor ve bir şey olduğundan şüphelenmiyor.

Herhangi bir ağ etkinliğinden önce Starland, bir kum havuzunda çalışıp çalışmadığını kontrol ediyor. Oturum açmış kullanıcı adını, WDAGUtilityAccount gibi bilinen kum havuzu servis hesaplarının sabit kodlu bir listesiyle karşılaştırıyor; ardından bilgisayar adını Cuckoo, Any.Run, Joe Sandbox ve Hybrid Analysis'ten gelen ana bilgisayar adlarıyla kontrol ediyor. Ayrıca, yükleyici dosyasında bir Zone.Identifier alternatif veri akışı olup olmadığını kontrol ederek dosyanın doğrudan bırakılmak yerine bir tarayıcıdan indirildiğini doğruluyor. Herhangi bir uyumsuzluk, yürütmeyi sonlandırıyor.

Bu kontrolleri geçtikten sonra RAT, herhangi bir ağ çağrısı yapmadan önce kalıcılık sağlıyor: PythonLauncher-{3 rastgele karakter} desenini izleyen rastgele bir adla zamanlanmış bir görev ve ikincil mekanizma olarak bir Başlangıç klasörü kısayolu oluşturuyor. Ardından keşif yapıyor: C: sürücü birim seri numarasından türetilen donanım kimliği, toplam RAM, yüklü antivirüs ve Active Directory üyeliği. Makine bir etki alanına katılmışsa, etki alanı yapısını haritalamak için whoami, systeminfo, net user ve nltest komutlarını çalıştırıyor. Ayrıca, tarayıcı uzantılarından ve masaüstü uygulamalarından 40'tan fazla kripto para cüzdanını numaralandırıyor, masaüstünün ekran görüntüsünü alıyor ve her şeyi C2'ye göndermeden önce "helo1" anahtarıyla XOR şifreleyerek bir JSON yükünde paketliyor.

C2 tasarımı dikkate değer. RAT, kurban kayıt verilerini sabit kodlu bir birincil C2 alan adına gönderiyor; ancak bu başarısız olursa, yedek olarak bir Polygon Ethereum akıllı sözleşmesi kullanıyor. Talos'a göre, "Birincil C2 kaydı başarısız olursa, RAT blok zinciri tabanlı bir yedekleme mekanizması etkinleştiriyor. Genel Polygon RPC uç noktası 'polygon-rpc[.]com'a JSON-RPC üzerinden bir eth_call tetikleniyor, '0x6ae382ed2154cc84c6672e4e908cd2c69c1b35ba' akıllı sözleşmesini ve en son blok için '0xc659f3b8' işlev seçicisini hedefliyor. RAT'ın akıllı sözleşmeden aldığı şifreli onaltılık dize, '$m7*rYpry3' anahtarıyla XOR çözülerek, RAT'ın kurban makine kayıt isteğini keşif ve ekran görüntüsü verileriyle birlikte gönderdiği bir yedek alan adı elde ediliyor." Bir C2 alan adını engellemek, yedek adres kaldırılamayan halka açık bir blok zincirinde yaşıyorsa işe yaramaz.

Sistem Güvenliği

C2'ye kaydolmadan önce RAT, kurbanın genel IP'si, işletim sistemi ayrıntıları, işlemci bilgileri, 'Ekip Kimliği' olarak sunulan bilgisayar adı ve tespit edilen kripto para cüzdanlarını içeren bir Telegram bildirimi gönderiyor. İki Telegram botu kullanılıyor: 'skuefq_b' ve diğeri. Bu yöntem, saldırganların kurbanlar hakkında gerçek zamanlı bilgi almasını sağlıyor. Talos raporu, kullanıcıların yalnızca resmi kaynaklardan yazılım indirmelerini ve şüpheli e-posta eklerine veya bağlantılarına tıklamamalarını öneriyor. Ayrıca, kuruluşların uç nokta koruma çözümlerini güncel tutmaları ve anormal davranışları izlemeleri gerekiyor.

Kaynak: securityaffairs.com

Paylaş: