13 Kas, 2024

Siber Suçlular Excel Açığını Kullanarak Dosyasız Remcos RAT Zararlısını Yaymaya Çalışıyor

Remcos RAT Zararlısı

Siber güvenlik uzmanları, Remcos RAT adı verilen bilinen bir zararlı yazılımın dosyasız bir sürümünü yaymak için kullanılan yeni bir kimlik avı saldırısını tespit etti.

Fortinet FortiGuard Labs araştırmacısı Xiaopeng Zhang, geçen hafta yayımladığı raporda, “Remcos RAT, kullanıcılarına uzaktaki bilgisayarları kontrol edebilmeleri için gelişmiş özellikler sunuyor” dedi. Ancak saldırganlar, bu aracı kurbanların hassas bilgilerini çalmak ve bilgisayarlarını kötü amaçlarla uzaktan yönetmek için kötüye kullanıyor.

Saldırının Başlangıcı

Saldırı, “satın alma siparişi” temalı bir e-postayla başlıyor ve kurbanları bir Microsoft Excel dosyasını açmaları için kandırıyor. Bu zararlı Excel dosyası, uzaktaki bir sunucudan (“192.3.220[.]22”) bir HTML Uygulama (HTA) dosyası (“cookienetbookinetcache.hta”) indirmek ve çalıştırmak için bilinen bir uzaktan kod yürütme açığını (CVE-2017-0199, CVSS puanı: 7.8) kullanıyor.

Saldırı Yöntemleri ve Teknikleri

HTA dosyası, JavaScript, Visual Basic Script ve PowerShell gibi farklı kodlarla çok katmanlı bir yapıdadır ve böylece güvenlik sistemlerinden kaçmaya çalışır. Dosyanın asıl amacı, aynı sunucudan başka bir zararlı dosya indirip çalıştırmaktır.

Bu indirilen zararlı dosya, PowerShell programı üzerinden işlem yapmaya devam eder ve analizlerden kaçınmak için bazı teknikler kullanır. Sonrasında, işlem boşaltma (process hollowing) adı verilen bir yöntemle Remcos RAT’ı indirip çalıştırır.

Xiaopeng Zhang, “Remcos dosyası yerel bir dosya olarak kaydedilmek yerine, doğrudan mevcut bir işlemin belleğinde çalıştırılıyor,” diyerek, bu durumun dosyasız bir Remcos sürümü olduğunu belirtti.

Remcos RAT Özellikleri

Remcos RAT, kurbanın sisteminden çeşitli bilgileri toplama kapasitesine sahiptir ve saldırgan tarafından bir komut ve kontrol (C2) sunucusu aracılığıyla uzaktan gönderilen talimatları çalıştırabilir. Bu komutlar şunları içerir:

  • Dosya toplama
  • İşlemleri listeleme ve sonlandırma
  • Sistem servislerini yönetme
  • Windows Kayıt Defteri’ni düzenleme
  • Komut ve script yürütme
  • Panodaki içeriği yakalama
  • Masaüstü duvar kağıdını değiştirme
  • Kamera ve mikrofonu etkinleştirme
  • Ekstra yükler indirme
  • Ekran kaydı yapma
  • Klavye veya fare girişini devre dışı bırakma

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.




İçerik Hakkında:
Siber güvenlik uzmanları, Remcos RAT adı verilen bilinen bir zararlı yazılımın dosyasız bir sürümünü yaymak için kullanılan yeni bir kimlik avı saldırısını tespit etti. Detaylar içeriğimizde.
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram

İlgili Yazılar