PyXie RAT Remote Access Trojana Dikkat Edin
Incelemeciler, muhtelif endüstrileri amaçlayan kampanyalarda sarfedilen PyXie isimli Python tabanlı yeni tek RAT (Remote Access Trojan) keşfetti.
RAT (Remote Access Trojan), bulaştığı bilgisayarda, saldırgana TCP/UDP portları üstünden saklı olarak hareketli data taşıyarak kurbanın bilgisayarında yetkili olmak için kullandıkları (arka kapı) zararı dokunabilecek program türüdür.
Solucan ve başka bilgisayar virüslerinin aksine RAT’ların emeli, sisteme zarar vermek değil, açtığı arka kapı fonksiyonuyla bilgisayarı fonda suskunca yöneterek sistemden data sızdırmaktır. RAT’lar sarfedilen ileri düzey yöntemler vasıtası ile basitçe saklanabilmekte ve güvenlik yazılımlarına yakalanmadan girdikleri sistemde varlıklarını sürdürebilirler. Tek RAT sisteme bulaştığında, bilgisayarın başına oturduğunuz vakit ne yapabiliyorsanız, RAT’ı kullanan şahıs de sizin yaptıklarınızın benzerini yapabilir. Örneğin; ekranınızın görüntüsünü kaydedebilir, mikrofon vasıtasıyla bölge dinlemesi yapılabilir, kameranızdan görüntü alabilir, parolalarınıza ve bütün dosyalarınıza erişebilir…
Konumuz dönecek olursak, PyXie öncelikle 2018‘de gözlemlenmiş, fakat, o vakitler siber güvenlik şirketleri doğrulusunda pek önemsenmemiştir.
Cylance doğrulusunda yayınlanan tek analize göre PyXie, muhtelif endüstrileri amaçlayan ve devam eden tek kampanyada konuşlandırıldı. Analistler, PyXie ile sıhhat ve eğitim sektörlerine fidye programı sunmaya gayret gösteren tehdit aktörlerinin yer aldığını gözlemlediler.
PyXie, Cobalt Strike ve Shifu bankacılık trojan‘ı ile kimi benzerlikler gösteren tek downloader (zararlı dosyayı uzaktan indirip sisteme yükleyen) aracı eşliğinde gözlenmiştir.
RAT (Remote Access Trojan), bulaştığı bilgisayarda, saldırgana TCP/UDP portları üstünden saklı olarak hareketli data taşıyarak kurbanın bilgisayarında yetkili olmak için kullandıkları (arka kapı) zararı dokunabilecek program türüdür.
Solucan ve başka bilgisayar virüslerinin aksine RAT’ların emeli, sisteme zarar vermek değil, açtığı arka kapı fonksiyonuyla bilgisayarı fonda suskunca yöneterek sistemden data sızdırmaktır. RAT’lar sarfedilen ileri düzey yöntemler vasıtası ile basitçe saklanabilmekte ve güvenlik yazılımlarına yakalanmadan girdikleri sistemde varlıklarını sürdürebilirler. Tek RAT sisteme bulaştığında, bilgisayarın başına oturduğunuz vakit ne yapabiliyorsanız, RAT’ı kullanan şahıs de sizin yaptıklarınızın benzerini yapabilir. Örneğin; ekranınızın görüntüsünü kaydedebilir, mikrofon vasıtasıyla bölge dinlemesi yapılabilir, kameranızdan görüntü alabilir, parolalarınıza ve bütün dosyalarınıza erişebilir…
Konumuz dönecek olursak, PyXie öncelikle 2018‘de gözlemlenmiş, fakat, o vakitler siber güvenlik şirketleri doğrulusunda pek önemsenmemiştir.
Cylance doğrulusunda yayınlanan tek analize göre PyXie, muhtelif endüstrileri amaçlayan ve devam eden tek kampanyada konuşlandırıldı. Analistler, PyXie ile sıhhat ve eğitim sektörlerine fidye programı sunmaya gayret gösteren tehdit aktörlerinin yer aldığını gözlemlediler.
PyXie, Cobalt Strike ve Shifu bankacılık trojan‘ı ile kimi benzerlikler gösteren tek downloader (zararlı dosyayı uzaktan indirip sisteme yükleyen) aracı eşliğinde gözlenmiştir.
PyXie saldırı zincirinin son aşamasında, aşağıdaki işlemler gerçekleştirilebilmektedir:
- Anti-Analiz için MITM engelleme
- Web-injects
- Klavye tuş kaydedici
- Ağ taraması
- Çerez hırsızlığı
- Log temizleme
- Video kaydı
- Farklı bir payload çalıştırma
- USB sürücü izleme ve veri hırsızlığı
- Sertifika hırsızlığı
- …
Cylance tarafından yayınlanan raporda, IOC‘ler de dahil olmak üzere zararlı yazılımla ilgili teknik ayrıntılara buradan ulaşabilirsiniz.
Yorumlar
Yorum Gönder