Siber güvenlik dünyasında her gün yeni bir tehditle karşılaşıyoruz. Ancak bazı tehditler, kullandıkları yöntemler, hedefleri ve kökenleriyle diğerlerinden ayrılır. Bugün, Kaspersky Küresel Araştırma ve Analiz Ekibi’nin (GReAT) “GodRAT” adıyla ifşa ettiği yeni bir Uzaktan Erişim Truva Atı’nı (RAT) mercek altına alacağız. Bu sadece “bir başka kötü amaçlı yazılım” değil; KOBİ’leri hedef alan, gelişmiş gizlenme teknikleri kullanan ve kökleri neredeyse yirmi yıllık bir siber silaha dayanan karmaşık bir kampanya. Peki, GodRAT’ı bu kadar tehlikeli ve “özel” kılan nedir?
Saldırı Vektörü: Finansal Belge Kılığındaki Ekran Koruyucular
Saldırganların KOBİ’leri hedef almak için seçtiği yöntem, sosyal mühendisliğin klasik bir örneği. Tehdit aktörleri, kurbanlarını kandırmak için “finansal belgeler” gibi görünen kötü amaçlı ekran koruyucu dosyaları (.scr) kullanıyor. Bu dosyalar, Mart 2025’e kadar aktif olarak Skype üzerinden dağıtıldı, ancak saldırganlar o zamandan beri dağıtım kanallarını çeşitlendirmiş durumda.
Kampanyanın hedef coğrafyaları da dikkat çekici: Birleşik Arap Emirlikleri (BAE), Hong Kong, Ürdün ve Lübnan’daki küçük ve orta ölçekli işletmeler (KOBİ’ler) bu saldırının ana odak noktası. KOBİ’lerin genellikle büyük kurumsal şirketlere kıyasla daha kısıtlı siber güvenlik bütçelerine ve kaynaklarına sahip olması, onları bu tür hedeflenmiş saldırılar için ideal kurbanlar haline getiriyor.
GodRAT’ın Teknik Anatomisi: Steganografi ve Özelleştirme
GodRAT’ın en endişe verici yönlerinden biri, tespit edilmekten kaçınmak için kullandığı teknikler. Saldırganlar, steganografi adı verilen bir yöntemi ustaca kullanıyor. Bu teknikte, kötü amaçlı kabuk kodu (shellcode), finansal verileri gösterdiği iddia edilen masum görünüşlü görüntü dosyalarının içine gizleniyor. Kurban bu dosyayı açtığında, gizlenen kod aktif hale geliyor ve asıl GodRAT yükünü Komuta ve Kontrol (C2) sunucusundan indiriyor.
Bu Truva atı, GodRAT V3.5_______dll.rar adlı bir arşivde bulunan özel bir “oluşturucu” (builder) ile birlikte geliyor. Bu oluşturucu, saldırganlara muazzam bir esneklik sağlıyor:
- Hem çalıştırılabilir (.exe, .com, .bat, .scr) hem de DLL yükleri oluşturabiliyorlar.
- Kötü amaçlı yazılımın,
svchost.exe,cmd.exeveyawscript.exegibi meşru Windows işlemleri içine enjekte edilmesini sağlayarak güvenlik yazılımlarını atlatmayı hedefliyorlar.
Sisteme sızdıktan sonra GodRAT, C2 sunucusuna bir TCP bağlantısı kurarak kurban hakkında kritik verileri toplamaya başlıyor: İşletim sistemi detayları, yerel ana bilgisayar adı, yüklü antivirüs yazılımı ve kullanıcı hesabı bilgileri gibi keşif verileri anında saldırgana iletiliyor.
Tehdit Büyüyor: Eklentiler, Parola Hırsızlığı ve AsyncRAT
GodRAT’ın tehlikesi ilk sızmayla bitmiyor. Bu yazılım, modüler bir yapıya sahip ve “eklentileri” destekliyor. Kaspersky araştırmacıları, saldırganların kurbanın sisteminde gezinmek ve dosya sistemini keşfetmek için bir FileManager eklentisi kullandığını tespit etti.
Daha da endişe verici olanı, saldırganların kimlik bilgilerini ele geçirmek için özel parola hırsızlarını dağıtması. Bu hırsızlar, özellikle Chrome ve Microsoft Edge tarayıcılarını hedef alarak kayıtlı parolaları, çerezleri ve diğer hassas verileri çalmaya odaklanıyor.
Saldırganlar işlerini şansa bırakmıyor. GodRAT’a ek olarak, sistemde kalıcı ve uzun süreli erişimi sürdürebilmek için ikincil bir implant olarak AsyncRAT‘ı da kullanıyorlar. Bu, GodRAT tespit edilip kaldırılsa bile, saldırganların sisteme başka bir “arka kapı” üzerinden erişmeye devam edebileceği anlamına geliyor.
Kökenler: Gh0st RAT’ın Modern Evrimi
Peki bu gelişmiş aracın arkasında kim var? Kaspersky Güvenlik Araştırmacısı Saurabh Sharma’nın analizi, GodRAT’ın kökenleri hakkında çarpıcı bir detayı ortaya koyuyor. GodRAT, Kaspersky’nin 2023’te raporladığı ve muhtemelen ünlü Winnti APT (Gelişmiş Kalıcı Tehdit) grubuyla bağlantılı olan “AwesomePuppet” adlı bir başka kötü amaçlı yazılımın evrimleşmiş bir versiyonu gibi görünüyor.
Bağlantıyı güçlendiren kanıtlar arasında dağıtım yöntemlerindeki benzerlikler, nadir komut satırı parametreleri ve ayırt edici parmak izi başlıkları gibi ortak kalıntılar bulunuyor.
Ancak en şaşırtıcı keşif, GodRAT’ın kod tabanının, siber güvenlik dünyasının “hayaletlerinden” biri olan Gh0st RAT ile olan benzerlikleri. Gh0st RAT, neredeyse yirmi yıllık, çok eski bir implant kod tabanı. Bu durum, siber tehdit aktörlerinin eski, ancak “işe yaradığı kanıtlanmış” araçları nasıl modernize edip, özelleştirip günümüzün hedeflerine karşı yeniden silahlandırdığının canlı bir kanıtı. GodRAT’ın keşfi, eski kod tabanlarının bile doğru ellerde ne kadar ölümcül olabileceğini bizlere bir kez daha hatırlatıyor.
KOBİ’ler için çıkarılacak ders açık: Tehditler yalnızca “yeni” ve “sıfır gün” (zero-day) olmak zorunda değil. Bazen en büyük tehlike, geçmişin hayaletlerinin modern tekniklerle yeniden donatılmasıyla ortaya çıkar. Sistemleriniz, hem eskinin hem de yeninin bu tehlikeli karışımına karşı savunulmaya hazır mı?
