Lazarus Grubu, PondRAT, ThemeForestRAT ve RemotePE ile Zararlı Yazılım Portföyünü Genişletiyor

Anasayfa » Lazarus Grubu, PondRAT, ThemeForestRAT ve RemotePE ile Zararlı Yazılım Portföyünü Genişletiyor
Haberler, Siber Güvenlik, Tehdit İstihbaratı, Zararlı Yazılım
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Lazarus Grubu, PondRAT, ThemeForestRAT ve RemotePE ile Zararlı Yazılım Portföyünü Genişletiyor

2024 yılında NCC Group’un Fox-IT birimi tarafından tespit edilen saldırı, DeFi sektöründeki bir organizasyonu hedef aldı ve bir çalışanın sistemine erişim sağlandı. Saldırganlar, farklı RAT’ları bir arada kullanarak ağ içinde keşif faaliyetleri gerçekleştirdi; kimlik bilgisi toplama ve proxy bağlantıları kurma gibi işlemler için çeşitli araçlardan faydalandılar.

Saldırı zinciri, Telegram üzerinden bir ticaret şirketi çalışanı gibi davranan tehdit aktörünün, kurbanla toplantı ayarlamak için Calendly ve Picktime gibi sahte platformları kullanmasıyla başladı. İlk erişim vektörü tam olarak belirlenememekle birlikte, elde edilen erişim PerfhLoader adlı yükleyici aracılığıyla PondRAT’ın sadeleştirilmiş varyantı POOLRAT’ın dağıtılmasına olanak sağladı. Fox-IT, Chrome tarayıcısındaki sıfır gün açığının kullanılmış olabileceğine dair işaretler olduğunu belirtti.

PondRAT ve Yan Araçlar

PondRAT, ekran görüntüsü alma, tuş kaydedici, Chrome kimlik bilgisi ve çerez hırsızı gibi modüllerle birlikte Mimikatz ve çeşitli proxy programlarını da içeriyor. Basit bir RAT olarak dosya okuma/yazma, işlem başlatma ve shellcode çalıştırma yeteneklerine sahip. 2021’den beri kullanıldığı tespit edilen bu zararlı, yaklaşık üç ay ThemeForestRAT ile birlikte kullanıldıktan sonra daha gelişmiş RemotePE’ye geçiş yapıldı.

ThemeForestRAT ve RemotePE

ThemeForestRAT, doğrudan bellekte çalışan ve HTTP(S) üzerinden komutlar alan gelişmiş bir RAT. Yeni RDP oturumlarını izleyebiliyor ve dosya yönetimi, komut yürütme, shellcode enjeksiyonu gibi 20’ye yakın komutu destekliyor. Fox-IT, bu RAT’ın 2014’te Sony Pictures saldırısında kullanılan RomeoGolf zararlısıyla benzerlikler taşıdığını belirtti. RemotePE ise C++ ile yazılmış, yüksek değerli hedeflere yönelik daha sofistike bir RAT olup, RemotePELoader ve DPAPILoader bileşenleriyle C2 sunucusundan yükleniyor.

Sonuç

PondRAT, başlangıç yükü olarak işlev görürken, daha karmaşık ve radar altında kalabilen ThemeForestRAT ile RemotePE saldırganların tercihi oluyor. Bu çok katmanlı yaklaşım, Lazarus Grubu’nun saldırılarını daha esnek ve etkili kılıyor.

, , , , , , ,