Kaspersky araştırmacıları, 2021 yılında tespit ettikleri ve “MysterySnail RAT” adını verdikleri bir zararlı yazılımın, yıllar süren sessizliğin ardından tekrar ortaya çıktığını duyurdu. Siber tehdit aktörleri her geçen gün yeni zararlı yazılımlar geliştirerek siber saldırılarda kullanıyor. Bu yazılımların bazıları yıllarca aktif kalırken, bazıları ise kısa sürede ortadan kayboluyor.
2021’deki İlk Keşif: IronHusky APT Bağlantısı
MysterySnail RAT, ilk olarak 2021 yılında CVE-2021-40449 adlı sıfırıncı gün (zero-day) açığını araştırırken tespit edilmişti. Bu arka kapı yazılımı, 2017 yılından bu yana aktif olduğu bilinen ve Çince konuşan IronHusky adlı tehdit grubu ile ilişkilendirilmişti. O dönemde yayımlanan analiz sonrası bu yazılımla ilgili herhangi bir kamuya açık rapor paylaşılmamış, izine de rastlanmamıştı.
Yeni Saldırılar: Hedefte Moğolistan ve Rusya Var
Ancak Kaspersky uzmanları, yakın zamanda MysterySnail RAT’in yeni bir sürümünün Moğolistan ve Rusya’daki devlet kurumlarına karşı kullanıldığını tespit etti. 2018 yılında da aynı aktörün bu ülkelere özel ilgi gösterdiği belirtilmişti. Bu da, zararlı yazılımın yıllardır sessiz sedasız saldırılarda kullanılmaya devam ettiğini ortaya koydu.
Zararlı MMC Scripti ile Bulaşma
Yeni saldırılardan birinde, Moğolistan Ulusal Arazi Ajansı’na aitmiş gibi gösterilen bir Word belgesi görünümündeki zararlı MMC scripti kullanıldı. Bu script şunları gerçekleştiriyordu:
Bir ZIP arşivini ve kandırma amacıyla kullanılan bir DOCX dosyasını
file[.]ioüzerinden indiriyor,DOCX dosyasını
%AppData%\CiscoPluginsX86\bin\etc\Updateklasörüne yerleştiriyor,ZIP’ten çıkan
CiscoCollabHost.exedosyasını çalıştırıyor,Bu dosya için kalıcılık sağlamak amacıyla kayıt defterine giriş ekliyor,
Son olarak kandırma belgesini açıyor.
Ara Katman Arka Kapı: CiscoSparkLauncher.dll
CiscoCollabHost.exe dosyası aslında meşru bir yazılım. Ancak aynı arşivde yer alan CiscoSparkLauncher.dll dosyası, DLL Sideloading tekniğiyle çalıştırılan zararlı bir bileşen. Bu DLL, piping-server adlı açık kaynak projesini kötüye kullanarak komuta-kontrol (C2) sunucusuyla iletişim kuruyor.
İlginç bir detay ise, bu arka kapının kullandığı Windows API fonksiyonlarının DLL içinde değil, şifrelenmiş ve harici bir logMYFC.log dosyasında yer alması. Bu, tersine mühendislik analizlerini zorlaştırmayı amaçlayan bir önlem.
Yeni Komut Seti ile MysterySnail RAT
Yeni sürümde, zararlı yazılım sisteme servis olarak yerleşiyor. Zararlı yük, attach.dat adlı şifreli bir dosyada yer alıyor ve DLL hollowing yöntemiyle belleğe yükleniyor. İletişim için HTTP sunucuları kullanılıyor. Tespit edilen bazı sunucular şunlar:
watch-smcsvc[.]comleotolstoys[.]com
Yazılım, dosya yönetimi, komut çalıştırma, süreç yönetimi ve ağ kaynaklarına bağlanma gibi yaklaşık 40 farklı komutu destekliyor.
Yeni sürümde bu komutlar beş farklı DLL modülü üzerinden yürütülüyor:
| Modül ID | Modül Adı | DLL Dosyası | Açıklama |
|---|---|---|---|
| 0 | Basic | BasicMod.dll | Sistem bilgisi toplama, disk listeleme, dosya silme |
| 1 | EMode | ExplorerMoudleDll.dll | Hizmet yönetimi, dosya okuma, işlem başlatma |
| 2 | PMod | process.dll | Çalışan işlemleri listeleme ve sonlandırma |
| 3 | CMod | cmd.dll | Yeni işlem başlatma ve komut çalıştırma |
| 4 | TranMod | tcptran.dll | Ağ kaynaklarına bağlanma |
Bu modüler mimari aslında 2021’den beri kullanılıyor. Örneğin, ExplorerMoudleDll.dll dosya adındaki yazım hatası bile korunmuş.
Yeni Hafif Sürüm: MysteryMonoSnail
Saldırıların engellenmesinin ardından, saldırganlar bu kez daha basit ve tek bileşenden oluşan “MysteryMonoSnail” adlı yeni bir varyantla saldırılarını sürdürdü. Bu sürüm, HTTP yerine WebSocket protokolü üzerinden aynı C2 sunucularına bağlanıyor ve sadece 13 temel komutu destekliyor. Amaç, daha az dikkat çekerek etkili olabilmek.
Eski Zararlılar Geri Dönebilir
MysterySnail RAT’in yeniden ortaya çıkışı, eski zararlı yazılımların her an geri dönebileceğini gösteriyor. Kaspersky GReAT ekibi, 2008’den bu yana gelişmiş tehditleri tespit etmeye odaklanıyor ve hem eski hem de yeni tehditlere dair göstergeleri Threat Intelligence portalı üzerinden sunuyor.
