Finansal motivasyonlu bir Rus tehdit aktörü olarak izlenen UAT-11795, sahte yazılım yükleyicileri kullanarak yeni bir arka kapı olan Starland RAT ile kimlik bilgilerini ve kripto para varlıklarını çalıyor. Cisco Talos araştırmacıları tarafından keşfedilen bu kampanya, en az Haziran 2025'ten bu yana aktif ve başta ABD olmak üzere Almanya, Romanya ve Venezuela'da kurbanlar oluşturdu. Saldırganlar, MobaXterm, WebEx, Zoom, DBeaver ve FaceIT gibi meşru yazılımların yükleyicilerini truva atına dönüştürerek zararlı yazılımı yayıyor. Araştırmacılar, enfeksiyon vektörünü kesin olarak doğrulayamasa da, dosyaların büyük olasılıkla ClickFix yöntemi kullanılarak dağıtıldığını düşünüyor.
Saldırı, bir HTA dosyasıyla başlıyor. Bu dosya, truva atına dönüştürülmüş bir NSIS yükleyicisi indiriyor. Yükleyici, LICENSE.txt adlı bir metin dosyası kılığına girmiş bir Python yükleyici içeriyor. Bu yükleyici, Windows Kayıt Defteri'nde kalıcılık sağlamak için değişiklikler yapıyor ve ardından Starland uzaktan erişim truva atını (RAT) şifresini çözüp yüklüyor. Starland, çalıştırıldığında önce bir sanal alan (sandbox) ortamında olup olmadığını kontrol ediyor, ardından kalıcılık için zamanlanmış görevler ve Başlangıç klasörü öğeleri ekliyor ve ayrıcalıklarını yükseltmeye çalışıyor.
Starland RAT, ele geçirilen sistemde çeşitli veri türlerini hedefliyor. Bunlar arasında tarayıcı verileri, 40'tan fazla masaüstü ve tarayıcı uzantısı kripto para cüzdanı varlıkları, sistem detayları (HWID, RAM, işlemci, işletim sistemi, bilgisayar adı, bölge, genel IP adresi, yüklü antivirüs ürünleri) ve Active Directory bilgileri (alan yapısı, alan denetleyicileri, kurbanın alan ayrıcalıkları) yer alıyor. Ayrıca, masaüstü ekran görüntüsü alma, shell komutları çalıştırma, 32 veya 64 bit shellcode enjekte etme ve ek yükler (EXE, MSI, DLL, ZIP) indirme yeteneklerine sahip.
Gelecekte Ne Bekleniyor?
Gözlemlenen saldırılarda, 64-bit shellcode zinciri CastleStealer bilgi hırsızı zararlı yazılımını, 32-bit zincir ise Remcos uzaktan erişim truva atını (RAT) teslim ediyor. CastleStealer, tarayıcı kimlik bilgileri, kripto para cüzdan bilgileri, Discord ve Telegram oturumları, Steam kimlik bilgileri ve dosya sistemi dosyalarını hedefliyor. Remcos RAT ise tuş kaydı, web kamerası ve ekran yakalama, ses kaydı, pano izleme, dosya yönetimi ve uzaktan komut çalıştırma gibi yetenekler sunuyor.
Detaylar ve Etkileri
Cisco Talos, zararlı yazılımın komuta ve kontrol (C2) iletişiminde bir yedekleme mekanizması kullandığını vurguluyor. Sabit kodlanmış adrese ulaşılamazsa, XOR ile şifrelenmiş bir yedek alan adı için Polygon akıllı sözleşmesini sorguluyor. Ayrıca, UAT-11795'in daha önce belgelenmemiş bir PowerShell C2 çerçevesi olan WLDR'yi kullandığı tespit edildi. WLDR, PBKDF2-SHA256 şifrelemesiyle işaretleme ve iletişim yapıyor, tamamen bellekte çalışıyor ve yük teslimatını her kurbanın donanım kimliğine bağlıyor.
UAT-11795 saldırılarına karşı korunmak için kuruluşlar, Cisco Talos raporundaki tehlike göstergelerini (IoC) kullanmalı. Kullanıcılar, anlamadıkları komutları çevrimiçi bulduklarında çalıştırmamalı ve yazılımları yalnızca doğrulanmış resmi satıcı portallarından indirmelidir. Bu tür saldırılar, özellikle kripto para kullanıcıları ve kurumsal ağlar için ciddi bir tehdit oluşturuyor. Güvenlik yazılımlarının güncel tutulması ve şüpheli e-posta eklerinden kaçınılması da önemli önlemler arasında.
Kaynak: bleepingcomputer.com