DarkCrystal RAT - Rus Hacking Forumlarında Commercial Backdoor Satan Bilgisayar Korsanları

BlackBerry'deki güvenlik araştırmacıları yakın zamanda DarkCrystal RAT (DCRat olarak da bilinir) adlı yeni bir RAT bildirdiler ve özel olarak tasarlanmış ve aktif olarak sürdürülen bir RAT.

Çok sayıda siber suç grubu, bu RAT'ı ucuz fiyatlarla sunuyor. Bu, hem profesyonel suç grupları hem de yeni başlayanlar için yaygın olarak erişilebilir olduğu anlamına gelir.

Bu uzaktan erişim Truva atı (RAT) yalnızca bir kişi tarafından oluşturulmuş gibi görünse de, düşük bütçeli sistemlere erişmek için etkileyici bir şekilde etkili bir el yapımı araç sağlar.

Bu arka kapıya iki aylık bir abonelik size yaklaşık 500 Ruble'ye mal olacaktır. Özel promosyonlar yayınlandığında, fiyat bazen daha da düşebilir.

Yazarın özellikle kârlarla motive olmadığı açıktır, bu da fiyat aralığını meraklı bir özellik haline getirir.

DCRat ilk olarak 2018'de piyasaya sürüldü ve bir yıl sonra yeniden tasarlanan ve yeniden başlatılan ticari bir Rus arka kapısı. Aşağıda sunulan takma adları kullanarak bu tehdidin geliştirilmesinin ve sürdürülmesinin arkasında tek bir kişi var gibi görünmektedir:

• boldenis44
• crystalcoder
• Кодер

DCRat'ın Bileşenleri

Toplamda, DCRat ürünü üç bileşen içerir ve burada DCRat'ın üç bileşeninden de bahsettik:

• Bir hırsız/istemci yürütülebilir dosyası
• Komut ve kontrol (C2) uç noktası/arabirimi olarak hizmet veren tek bir PHP sayfası
• Yönetici aracı

DCRat (diğer adıyla "DarkCrystal RAT")

DCRat, .NET ile yazılmış tam özellikli bir arka kapıdır. DCRat ile üçüncü taraflar, aracın işlevselliğini daha da genişletmek için eklentiler geliştirebilir ve bu, bağlı kuruluşlar tarafından geliştirilen DCRat Studio adlı özel bir IDE kullanılarak tamamlanabilir.

DCRat'ın modüler mimarisinin ve özel eklenti çerçevesinin esnekliği, onu bir dizi kötü niyetli etkinlikte kullanım için son derece kullanışlı hale getirir.

Bu aşağıdakileri içerir:

• Gözetim
• Keşif
• Bilgi hırsızlığı
• DDoS saldırıları
• Dinamik kod yürütme

Fiyat grafiği

Truva atı için iki aylık bir lisans, truva atının genel kullanımının genel fiyatı olan 500 RUB'dan başlar. Diğer fiyatlar aşağıda belirtilirken:

• İki aylık abonelik: 500 RUB
• Bir yıllık abonelik: 2.200 RUB
• Ömür boyu abonelik: 4.200 RUB

DCRat Teklifi

Mandiant, Mayıs 2020'de "files.dcrat[.]ru" üzerinde RAT'ın ana bilgisayar altyapısını izleyen bir analiz gerçekleştirdi, ancak şu anda kötü amaçlı yazılım farklı bir etki alanı olan "crystalfiles[.]ru" adlı bir etki alanında barındırılıyor.

Crystalfiles web sitesinde gerçek bir karmaşık arayüz yoktur ve web sitesinin yalnızca bir indirme noktası olarak hizmet etmesi amaçlanmıştır. Ayrıca, müşteriler ve potansiyel müşteriler sitede başka hiçbir bilgi veya kaynak bulamazlar.

DCRat'ın bir ana bilgisayara yayılmak için kullandığı vektörler arasında:

• Cobalt Strike İşaretçileri
• Prometheus TDS (Abonelik tabanlı bir hizmet olarak suç yazılımı (CaaS) çözümü.)

Ayrıca, bu RAT'ın diğer yetenekleri şunları içerir:

• Ekran görüntüleri yakalama
• Tuş vuruşlarını kaydetme
• Panodan içerik çalma
• Telegram ve web tarayıcılarından veri çalma

Bunun dışında tüm DCRat pazarlama ve satış faaliyetlerinin yürütüldüğü Russian hacking forum lolz[.]guru'dur. Ayrıca, aynı portal tarafından işlenen bazı satış öncesi sorgular da vardır.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.