Siber güvenlik dünyası, Telegram altyapısını kullanan yeni bir uzaktan erişim truva atı (RAT) olan Millenium RAT'ın küresel çapta yarattığı tehditle sarsılıyor. Group-IB araştırmacılarının yayımladığı rapora göre, bu kötü amaçlı yazılım 160'tan fazla ülkede 60.000'den fazla Windows cihazına bulaştı. Saldırıların büyük kısmı 2026'nın ilk üç ayında gerçekleşti ve bu da tehdidin ne kadar hızlı yayıldığını gösteriyor. Millenium RAT'ın en dikkat çekici özelliği ise komut ve kontrol (C2) altyapısı olarak Telegram Bot API'sini kullanması. Bu sayede saldırganlar kendi sunucularını kurma zahmetinden kurtuluyor ve trafiği meşru bir mesajlaşma hizmeti içinde gizleyebiliyor.
Millenium RAT ilk olarak 2023 yılında .NET tabanlı bir program olarak ortaya çıktı. Ancak dördüncü sürümle birlikte tamamen yerel C++ uygulamasına dönüştü. Group-IB'in analizine göre bu değişiklik, kötü amaçlı yazılımın daha zayıf tespit araçlarından kaçmasına olanak tanıyor. C++ ile yazılan yeni sürüm, libcurl kütüphanesini kullanarak Telegram ile iletişim kuruyor. Bu teknik, malware trafiğini normal ağ aktiviteleri arasında gizleyerek güvenlik duvarlarını ve izleme sistemlerini atlatmasını sağlıyor. Group-IB, bu yeniden yazımın özellikle tespit edilmeyi zorlaştırmak için tasarlandığını vurguluyor.
Tam teşekküllü bir RAT olarak Millenium RAT, tarayıcılardan veri çalma, tuş vuruşlarını kaydetme, ekran görüntüsü alma ve ses kaydetme gibi bir dizi yeteneğe sahip. Ayrıca diğer dosyaları indirip çalıştırabiliyor, bazı komutlarla dosyaları şifreleyebiliyor veya mavi ekran hatası oluşturabiliyor. İlginç bir şekilde, malware herhangi bir güvenlik açığı kullanmıyor; bunun yerine standart Windows işlevlerine güveniyor. Yönetici hakları elde etmek için standart Kullanıcı Hesabı Denetimi (UAC) istemini görüntülüyor ve kurbanın onaylamasını umuyor. Bu basit ama etkili yöntem, birçok kullanıcının güvenlik uyarılarını dikkate almamasından yararlanıyor.
Detaylar ve Etkileri
Millenium RAT, 'kötü amaçlı yazılım olarak hizmet' (MaaS) modeliyle oldukça düşük bir fiyata satılıyor. ShinyEnigma takma adını kullanan bir geliştirici, ilk ay için 50 dolar, sonraki aylar için 10 dolar veya ömür boyu erişim için 90 dolar talep ediyor. Bu fiyatlandırma, siber suç dünyasında düşük beceriye sahip saldırganların bile bu güçlü araca erişmesini sağlıyor. Group-IB, saldırı kampanyalarını Y2K Operatörleri olarak izlediği bir kümeye atfediyor ve telemetri verilerine göre toplamda 62.289 enfeksiyon tespit edildiğini, bunlardan 39.730'unun yalnızca 2026'nın ilk çeyreğinde gerçekleştiğini belirtiyor.
Teknik Analiz
Y2K Operatörleri, sosyal mühendislik taktiklerine ağırlık veriyor. Truva atını oyun hileleri, kırılmış yazılımlar ve hack araçları gibi tuzaklı indirmelerin içine gizleyerek yayıyorlar. Araştırmacılar, bir vakada operatörlerin diğer siber suçluları hedef aldığını ve AsyncRAT ile XWorm gibi popüler araçları arka kapı ile donatarak başka saldırganların kendilerini enfekte etmesini sağladığını gözlemledi. Kurulduktan sonra malware genellikle bir Windows sistem dosyası gibi görünerek verileri sızdırmaya başlıyor. Bu yöntem, güvenlik yazılımlarını atlatmak ve kullanıcıları şüphelendirmemek için oldukça etkili.
Gelecekte Ne Bekleniyor?
Group-IB, yeni sürümlerin ortaya çıkmaya devam ettiğini ve Millenium RAT'ın daha fazla özellik ve adli bilişim karşıtı numarayla güncellenebileceğini tahmin ediyor. Şirket, kullanıcıları beklenmedik yükseltme istemlerine karşı dikkatli olmaya ve güvenilmeyen kaynaklardan dosya çalıştırmaktan kaçınmaya çağırıyor. Bu uyarı, özellikle düşük maliyetli abonelik modelinin yetenekli bir truva atını düşük becerili saldırganların bile kullanımına sunması nedeniyle kritik önem taşıyor. Millenium RAT örneği, siber güvenlik tehditlerinin giderek daha erişilebilir hale geldiğini ve herkesin temel güvenlik önlemlerini alması gerektiğini bir kez daha hatırlatıyor.
Kaynak: infosecurity-magazine.com