FatalRAT Virüsü Telegram Üzerinden Dağıtılıyor

 


AT&T Alien Labs‘dan araştırmacılar, FatalRAT adı verilen zararlı yazılımın uzaktan kod çalıştırma ve evasion (atlatma) teknikleri gerçekleştirebileceğini, sistemde kalıcılık elde edebildiğini, kullanıcının tuş vuruşlarını günlüğe kaydedebildiğini, sistem bilgilerini toplayabildiğini ve şifreli bir komuta kontrol kanalı ile iletişim kurduğunu söylüyor.

FatalRAT Saldırı Analizi

Makine zararlı yazılım AntiVM testlerini geçerse, FatalRAT zararlı aktiviteleri başlatacaktır.

İlk olarak, yapılandırma dizelerinin her birinin şifresini ayrı ayrı çözer.

Bu yapılandırma dizeleri,

  • C2 adresini
  • Zararlı yazılım dosya adını,
  • hizmet adını,

ve diğer ayarları içeriyor.

AntiVM testi, özgün yürütme akışlarını işlemek için sanal makine yapılandırma dosyalarını, yürütülebilir dosyaları, kayıt defteri girdilerini veya diğer göstergeleri algılamaktadır.



RAT ayrıca, disableLockWorkstation yani kayıt defteri anahtarını kullanarak kullanıcının bilgisayarı CTRL+ALT+DELETE komutuyla kilitleme yeteneğini de devre dışı bırakır.

Bilgisayar kilitlenmesi devre dışı bırakıldıktan sonra, keylogger etkinleştirilir.


Alien Labs güvenlik araştırmacısı Ofer Caspi FatalRAT kayıt defterini değiştirebilir veya yeni bir hizmet oluşturabilir. Kayıt defteri değiştirilerek kalıcılık sağlarsa, kötü amaçlı yazılımı önyükleme zamanında kodu yürütebilmek için “SoftwareMicrosoftWindowsCurrentVersionRunSVP7” değerini oluşturur.” dedi

FatalRAT daha sonra enfekte olmuş makineden harici IP adresi, kullanıcı adı ve kurbanla  ilgili diğer bilgileri topluyor ve C2 sunucusuna gönderiyor.

C&C sunucusu ile iletişim kurmak için, kurban ve saldırgan arasında gönderilen verileri şifrelemek adına aritmetik bir rutin kullanır. Şifreleme, bir baytlık XOR anahtarı ve elde edilen değere sabit bir değer daha eklenmesiyle elde edilir.

Şifrelenmiş veri daha sonra 8081 numaralı port üzerinden C&C sunucusuna gönderilir ve  saldırganın komutunu bekler.

Zararlı yazılımın farklı tarayıcıları işlemek için birkaç rutini vardır.” diyor. “Bu yordamlardan bazıları belirli tarayıcılar için  kullanıcı bilgilerini silmeyi içerir. (Edge, 360 Secure Browser, QQBrowser, SogouBrowser ve Firefox). Chrome için kullanıcı bilgilerini sorgular ve ardından içeriği siler. Kaydedilen bilgilerin silinmesiyle birlikte kullanıcı bilgileri tekrar girecek ve keylogger bu bilgileri kayıt edecektir.

Ayrıca kurbanın ağında zayıf parolaları zorlayarak yayılır. Daha sonra kendisini %Folder%hackshen.exe olarak kopyalar ve kopyalanan dosyayı uzaktan çalıştırır.

FatalRAT komutlarına değinecek olursak,

  • Keylogger
  • Web kamerası ve mikrofon erişimi
  • Ekran görüntüsü alma
  • Çözünürlük değiştirme
  • UltraViewer’ı kaldırma
  • AnyDesk’i indirme
  • Kabuk komutları yürütme
  • Kayıt defteri anahtarlarını değiştirme
  • Dosya indirme/yürütme
  • gibi işlevleri içerir.

Bu özellikler, FatalRAT saldırganlarına sistem üzerinde tam kontrol sağlamak için fazlasıyla yeterlidir.

Telegram Üzerinden Yayılıyor

FatalRAT, Telegram üzerinden dağıtılmış gibi görünüyor. Sahte profiller ve gruplar, kullanıcıyı ilginç bir yazılım veya medya parçasına yönlendirdiğini söylüyor fakat bu dosyalarla birlikte kullanıcılar FatalRAT’ı indiriyorlar.

Aşağıdaki IoC listesi, YARA kuralı ve Suricata IDS imzaları ile güvenlik önlemlerinizi sağlayabilirsiniz.

TYPEINDICATORDESCRIPTION
SHA256e52af19dce25d51f9cf258613988b8edc583f7c7e134d3e1b834d9aab9c7c4c4Malware hash
SHA256dc026cd76891d1f84f44f6789ac0145a458e2c704a7bc50590ec08966578edb3Malware hash
SHA256cb450f82c49eadd597a87645f9f30c52c03c6ed9425386af5b321664fe3a6da0Malware hash
SHA256210990e36122e0facc7c74373569f052fa0651ab06644330fe00b685793ee0fdMalware hash
SHA25634f37327a0154d644854a723e0557c733931e2366a19bdb4cfe6f6ae6770c50fMalware hash
SHA256ec0dcfe2d8380a4bafadb3ed73b546cbf73ef78f893e32202042a5818b67ce56Malware hash
SHA256b01719e59675236df1a0e1a78cdd97455c0cf18426c7ec0f52df1f3a78209f65Malware hash
SHA25672cd668d9bc442f522556807390d4f7e32966bef20ef1a831bf36a5ab213191eMalware hash
SHA2561cabdb7ab1cbd0526498d15839c780850a41a8c917b65581fad9e7dbdedd5e0fMalware hash
SHA2565453911d6f597d65ab542ec25723a7d87b2292c2e2a52a40d3a32032f6117acdMalware hash
SHA256826d07108a1223140e6a58b44722404009ac2e82df0acfd7d1f5bf29b56526b6Malware hash
SHA256337841b5ade52ba853a30eb8ab04dede64d89808893fb6e04122479502951528Malware hash
SHA25617075832426b085743c2ba811690b525cf8d486da127edc030f28bb3e10e0734Malware hash
IP ADDRESS103.119.44[.]152C&C
IP ADDRESS103.119.44[.]93C&C
IP ADDRESS103.119.44[.]100C&C
SURICATA IDS SIGNATURES
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"AV TROJAN FatalRAT CnC Request"; flow:established,to_server; dsize:300<>500; content:"|BF BC 95|"; startswith; content:"|8D 8E 8E 5E 90 8E 8E 2C 1B 80 8E E6 02 A7 6D FC C6 00 06 4F 0E 97|"; distance:1; within:22; threshold:type limit, count 1, seconds 3600, track by_src; reference:md5,99fc53d3d4c2c31fd5b5f0f15dbdeab4; classtype:trojan-activity; sid:4002633; rev:1;)
2033093: ET TROJAN FatalRAT CnC Activity
YARA RULES
rule FatalRAT_unpacked

{

    meta:

        author = "AT&T Alien Labs"

        sha256 = "ec0dcfe2d8380a4bafadb3ed73b546cbf73ef78f893e32202042a5818b67ce56"

        type = "malware"

        description = "Detects FatalRAT, unpacked malware."

        copyright = "Alienvault Inc. 2021"

       

    strings:


        $decrypt_func = {EC 0F B6 45 10 99 B9 AB 05 00 00 56 F7 F9 8B 75 0C 80 C2 3D 85 F6 76 0F 8B 45 08 8A 08 32 CA 02 CA 88 08 40 4E 75 F4 5E 5D C3}


        $s1 = "SVP7-Thread running..."

        $s2 = "nw_elf.dll"


    condition:

        uint16(0) == 0x5a4d and all of them

}

0 Yorumlar

Yorum Gönder

Yorum Gönder (0)

Daha yeni Daha eski
Oxygen Chrome