Siber Saldırılar/SuçlarZararlı Yazılımlar

PyXie RAT Birçok Endüstriyi Tehdit Ediyor

Ahmet Candan, 10 Aralık 2019

Araştırmacılar, çeşitli endüstrileri hedefleyen kampanyalarda kullanılan PyXie adlı Python tabanlı yeni bir RAT (Remote Access Trojan) keşfetti.

RAT (Remote Access Trojan), bulaştığı bilgisayarda, saldırgana TCP/UDP portları üzerinden gizli olarak dinamik veri taşıyarak kurbanın bilgisayarında yetki sahibi olmak için kullandıkları (arka kapı) zararlı yazılım türüdür. Solucan ve diğer bilgisayar virüslerinin aksine RAT’ların amacı, sisteme zarar vermek değil, açtığı arka kapı fonksiyonuyla bilgisayarı arka planda sessizce yöneterek sistemden veri sızdırmaktır. RAT’lar kullanılan ileri seviye yöntemler sayesinde kolayca saklanabilir ve güvenlik yazılımlarına yakalanmadan girdikleri sistemde varlıklarını sürdürebilirler. Bir RAT sisteme bulaştığında, bilgisayarın başına oturduğunuz zaman ne yapabiliyorsanız, RAT’ı kullanan kişi de sizin yaptıklarınızın aynısını yapabilir. Örneğin; ekranınızın görüntüsünü kaydedebilir, mikrofon aracılığıyla ortam dinlemesi yapabilir, kameranızdan görüntü alabilir, parolalarınıza ve tüm dosyalarınıza erişebilir…

Konumuz dönecek olursak, PyXie ilk olarak 2018‘de gözlemlenmiş, ancak, o zamanlar siber güvenlik firmaları tarafından pek önemsenmemiştir.

Cylance tarafından yayınlanan bir analize göre PyXie, çeşitli endüstrileri hedefleyen ve devam eden bir kampanyada konuşlandırıldı. Analistler, PyXie ile sağlık ve eğitim sektörlerine fidye yazılımı sunmaya çalışan tehdit aktörlerinin bulunduğunu gözlemlediler.

PyXie, Cobalt Strike ve Shifu bankacılık trojan‘ı ile bazı benzerlikler gösteren bir downloader (zararlı dosyayı uzaktan indirip sisteme yükleyen) aracı ile birlikte gözlenmiştir.

PyXie saldırı zincirinin son aşamasında, aşağıdaki işlemler gerçekleştirilebilmektedir: