Siber güvenlik araştırmacıları, Telegram altyapısını kullanan ve Millenium RAT olarak adlandırılan bir uzaktan erişim truva atının (RAT) 160'tan fazla ülkede 60.000'den fazla Windows cihazına bulaştığını tespit etti. Group-IB tarafından yapılan analize göre, kötü amaçlı yazılımın en yeni sürümü .NET framework'ten native C++'a yeniden yazıldı. Bu değişiklik, zayıf algılama araçlarını atlatmasına ve antivirüs yazılımları tarafından fark edilmeden çalışmasına olanak tanıyor.
Millenium RAT, 'kötü amaçlı yazılım olarak hizmet' (MaaS) modeliyle oldukça düşük bir fiyata satılıyor. Telegram Bot API'sini kullanarak komut alan bu RAT, operatörlerin kendi sunucularını barındırmasına gerek kalmıyor. Meşru bir mesajlaşma hizmeti üzerinden yönlendirilen komutlar, kötü amaçlı trafiğin normal ağ etkinliği arasında gizlenmesini sağlıyor. Bu sayede güvenlik duvarları ve ağ izleme sistemleri tarafından tespit edilmesi zorlaşıyor.
Group-IB, Millenium RAT'ın ilk olarak 2023'te bir .NET programı olarak ortaya çıktığını belirtiyor. Dördüncü sürümle birlikte bu bağımlılıktan tamamen kurtuldu. Yeni sürüm, native C++ uygulaması olarak derleniyor ve Telegram ile iletişim kurmak için libcurl kütüphanesini kullanıyor. Bu yeniden yazım, kötü amaçlı yazılımın daha düşük seviyede çalışmasını ve güvenlik yazılımlarının davranış analizini atlatmasını sağlıyor.
Tam teşekküllü bir RAT olan Millenium RAT, tarayıcılardan veri çalma, tuş kaydı yapma, ekran görüntüsü alma ve ses kaydı yapma gibi yeteneklere sahip. Ayrıca diğer dosyaları indirip çalıştırabiliyor ve bazı komutlar dosyaları şifreleyerek veya mavi ekran hatası vererek sistemi çökertebiliyor. Kötü amaçlı yazılım, herhangi bir güvenlik açığı kullanmıyor; tamamen standart Windows işlevlerine dayanıyor. Yönetici hakları elde etmek için standart Kullanıcı Hesabı Denetimi (UAC) istemi gösteriyor ve kurbanın onaylamasını bekliyor.
ShinyEnigma takma adını kullanan bir geliştirici, Millenium RAT'ı yeraltı forumlarında, GitHub'da ve özel bir web sitesinde satıyor. Fiyatlandırma oldukça düşük: ilk ay 50 dolar, sonraki aylar 10 dolar veya ömür boyu erişim için 90 dolar. Group-IB, saldırıları Y2K Operatörleri olarak izlediği bir kümeye atfediyor ve telemetri verilerine göre 62.289 enfeksiyon tespit edildiğini, bunların 39.730'unun yalnızca 2026'nın ilk çeyreğinde gerçekleştiğini belirtiyor.
Y2K Operatörleri, sosyal mühendislik taktikleri kullanarak truva atını oyun hileleri, kırık yazılımlar ve hacker araçları gibi tuzaklı indirmeler aracılığıyla yayıyor. Araştırmacılar, saldırganların aynı zamanda diğer siber suçluları hedef aldığını ve AsyncRAT, XWorm gibi popüler araçlara arka kapı yerleştirerek diğer saldırganların kendilerini enfekte etmesini sağladığını gözlemledi. Kurulduktan sonra kötü amaçlı yazılım genellikle bir Windows sistem dosyası gibi davranarak verileri sızdırıyor. Group-IB, yeni sürümlerin ortaya çıkmaya devam ettiğini ve daha fazla özellik ile adli bilişim karşıtı yöntemler beklediklerini belirtiyor. Kullanıcıları, beklenmedik yükseltme istemlerine karşı dikkatli olmaya ve güvenilmeyen kaynaklardan dosya çalıştırmaktan kaçınmaya çağırıyor.
Kaynak: infosecurity-magazine.com