ObliqueRAT, Güneydoğu Asya'yı Hedefliyor
Cisco Talos, Güneydoğu Asya'daki şirketleri hedef alan ve yeni bir RAT kullanılan saldırı kampanyası keşfetti.
Cisco Talos, Güneydoğu Asya'daki şirketleri hedef alan, "ObliqueRAT" adını verdikleri yeni bir RAT (Remote Access Trojan) kullanılan saldırı kampanyası keşfetti.
Saldırı kampanyasının Ocak 2020'de başladığını ve hâlâ devam ettiğini söyleyen araştırmacılar, saldırı dalgasında kullanılan RAT olan ObliqueRAT'nin phishing e-postaları kullanılarak dağıtıldığını söyledi.
Cisco Talos, bu e-postaların içerisinde RAT'yi barındıran Microsoft Word belgelerinin olduğunu ve belgelerin "Company-Terms.doc" gibi güvenilir isimlere sahip olduğunu söyledi.
Araştırmacılar, belgeyi açan kurbanların bilgisayarlarına ObliqueRAT'nin bulaştığını ve böylelikle yazılımın kendisine kodlanmış olan görevleri yerine getirdiğini söyledi.
Cisco Talos tarafından diğer RAT'ler ile aynı özellikleri taşıdığı tespit edilen ObliqueRAT'nin görevleri ise bulaştığı sistem hakkında işletim sistemi sürümü, kullanıcı adı, bilgisayar adı gibi bilgileri toplamak ve bunları C&C sunucusuna göndermek olarak tespit edildi.
Ancak araştırmacılar ObliqueRAT'ye özel bir davranışın varlığından da bahsetti. Bu, ObliqueRAT'nin bulaştığı bilgisayarda eğer "C:\ProgramData\System\Dump" dizini mevcutsa bunu C&C sunucusuna bildirmesidir.
Cisco Talos, ObliqueRAT'nin daha önceden keşfedilen CrimsonRAT ile benzerliklerinin olduğunu ve iki RAT'nin arkasındakilerin aynı aktörler olduğunu düşündüklerini söyledi.
Yorumlar