Cisco Talos araştırmacıları, 16 Temmuz 2026'da yayımladıkları teknik raporda, Rusça konuşan ve finansal motivasyonlu bir tehdit aktörü olan UAT-11795'in Haziran 2025'ten bu yana ABD ve Avrupa'daki kullanıcıları hedef alan bir kötü amaçlı yazılım kampanyası yürüttüğünü açıkladı. Operasyon, BT uzmanları ve geliştiricilerin sıklıkla kullandığı MobaXterm, Cisco Webex, Zoom, DBeaver ve oyun platformu FACEIT gibi yazılımların sahte kurulum dosyalarını dağıtıyor. Hedef çeşitliliği, saldırganların belirli bir sektöre odaklanmak yerine farklı kullanıcı türlerini enfekte etmeye çalıştığını gösteriyor.
Kampanya, daha önce belgelenmemiş iki yeni kötü amaçlı yazılım ailesi kullanıyor. İlki, kimlik avı ve kripto para cüzdanı taraması yapabilen Python tabanlı bir uzaktan erişim truva atı olan Starland RAT. İkincisi ise tamamen bellek içinde çalışan PowerShell tabanlı bir komuta ve kontrol (C2) implantı olan WLDR. Talos ayrıca, Starland üzerinden ek yük olarak CastleStealer ve Remcos RAT'ın da dağıtıldığını gözlemledi. İlk erişim, kurbanı farkında olmadan kötü amaçlı bir HTA dosyasını çalıştırmaya ikna eden ClickFix sosyal mühendislik tekniğiyle sağlanıyor. Bu HTA dosyası, bir Windows toplu iş dosyası ve sahte bir kurulum yükleyicisi bırakırken, her kullanıcı oturum açtığında HTA'yı yeniden çalıştıran bir kayıt defteri Run anahtarı ile kalıcılık sağlıyor.
Sahte kurulum yükleyicileri, Nullsoft Scriptable Install System kullanılarak oluşturuluyor. Gerçek bir Python çalışma zamanı ve LICENSE.txt adıyla gizlenmiş derlenmiş bir Python yükleyicisi içeriyorlar. NSIS betiği, yükleyiciyi çalıştırıyor ve bu yükleyici, Starland RAT'ı tek baytlık bir XOR anahtarıyla çözerek doğrudan bellekte çalıştırıyor. Gerçek yazılım kurulumu normal şekilde devam ettiği için kurban herhangi bir anormallik fark etmiyor. Starland, ağ etkinliğine başlamadan önce bir dizi anti-analiz kontrolü gerçekleştiriyor: kullanıcı adını bilinen sanal kutu servis hesaplarıyla (WDAGUtilityAccount gibi) karşılaştırıyor, bilgisayar adını Cuckoo, Any.Run, Joe Sandbox ve Hybrid Analysis gibi sanal kutu ortamlarının ana bilgisayar adlarıyla kontrol ediyor ve kurulum dosyasının Zone.Identifier alternatif veri akışını inceleyerek dosyanın tarayıcıdan indirilip indirilmediğini doğruluyor. Herhangi bir eşleşme, yürütmeyi derhal sonlandırıyor.
Anti-analiz kontrollerini geçtikten sonra RAT, herhangi bir ağ çağrısı yapmadan önce kalıcılık sağlıyor. PythonLauncher-{3 rastgele karakter} deseninde rastgele bir adla zamanlanmış görev oluşturuyor ve ikincil mekanizma olarak Başlangıç klasörüne kısayol ekliyor. Ardından keşif aşamasına geçiyor: C: sürücüsü hacim seri numarasından donanım kimliği, toplam RAM, yüklü antivirüs yazılımı ve Active Directory üyeliği bilgilerini topluyor. Makine bir etki alanına katılmışsa, whoami, systeminfo, net user ve nltest komutlarıyla etki alanı yapısını haritalandırıyor. Ayrıca 40'tan fazla kripto para cüzdanını tarıyor, masaüstü ekran görüntüsü alıyor ve tüm bu verileri "helo1" anahtarıyla XOR şifreleyerek C2 sunucusuna gönderiyor.
Sonuç ve Değerlendirme
C2 tasarımı, özellikle dikkat çekici. RAT, birincil C2 alan adına kayıt verilerini gönderiyor; ancak bu başarısız olursa, yedek mekanizma olarak Polygon Ethereum akıllı sözleşmesini kullanıyor. Talos raporuna göre, "Birincil C2 kaydı başarısız olursa, RAT blok zinciri tabanlı bir yedekleme mekanizmasını etkinleştiriyor. Polygon RPC uç noktasına JSON-RPC üzerinden bir eth_call tetikleniyor, '0x6ae382ed2154cc84c6672e4e908cd2c69c1b35ba' adresindeki akıllı sözleşme ve '0xc659f3b8' fonksiyon seçicisi ile en son blok sorgulanıyor. Akıllı sözleşmeden alınan şifrelenmiş onaltılık dize, '$m7*rYpry3' anahtarıyla XOR çözülerek yedek alan adı elde ediliyor ve RAT bu alan adına kurban makine kaydı ile keşif ve ekran görüntüsü verilerini gönderiyor." Bu yöntem, C2 alan adını engellemeyi anlamsız kılıyor çünkü yedek adres, kapatılamayan genel bir blok zincirinde yaşıyor.
C2'ye kaydolmadan önce RAT, Telegram üzerinden saldırganın kontrolündeki bir bot'a kurbanın genel IP'si, işletim sistemi detayları, işlemci bilgisi, bilgisayar adı (Crew ID olarak sunulur) ve tespit edilen kripto para cüzdanlarını içeren bir bildirim gönderiyor. İki Telegram botu kullanılıyor: 'skuefq_b' ve diğeri. Bu, operatörlerin gerçek zamanlı olarak başarılı enfeksiyonları izlemesine olanak tanıyor. Kampanyanın finansal motivasyonu, kripto para cüzdanlarının hedeflenmesi ve ek olarak CastleStealer gibi bilgi çalma yazılımlarının kullanılmasıyla açıkça görülüyor. Talos, UAT-11795'in sürekli olarak yeni teknikler geliştirdiğini ve bu kampanyanın evrimleşmeye devam ettiğini belirtiyor.
Kullanıcıların bu tür saldırılardan korunması için güncel antivirüs yazılımları kullanmaları, yazılımları yalnızca resmi kaynaklardan indirmeleri ve ClickFix benzeri sosyal mühendislik tuzaklarına karşı dikkatli olmaları önemlidir. Ayrıca, çalıştırılan komutların kaynağını doğrulamak ve bilinmeyen kaynaklardan gelen HTA dosyalarını çalıştırmamak kritik bir önlemdir. Kurumsal ortamlarda, uygulama beyaz listeleme ve davranışsal analiz araçları bu tür bellek tabanlı implantların tespitinde etkili olabilir. Blockchain tabanlı C2 altyapısı, geleneksel ağ güvenliği önlemlerini aşabildiğinden, tehdit istihbaratı ve proaktif savunma stratejileri hayati önem taşımaktadır.
Teknik Analiz
Cisco Talos'un bu detaylı analizi, siber güvenlik topluluğuna UAT-11795'in taktikleri, teknikleri ve prosedürleri hakkında değerli bilgiler sunuyor. Starland RAT ve WLDR gibi yeni kötü amaçlı yazılımların ortaya çıkışı, tehdit aktörlerinin sürekli olarak yenilik yaptığını ve savunma mekanizmalarını atlatmak için karmaşık yöntemler geliştirdiğini gösteriyor. Bu nedenle, güvenlik ekiplerinin sürekli olarak güncel tehdit istihbaratını takip etmeleri ve çok katmanlı savunma stratejileri uygulamaları büyük önem taşımaktadır.
Kaynak: securityaffairs.com