TA558 tehdit aktörü, Brezilya ve İspanyolca konuşulan pazarlardaki otellere yönelik yeni bir saldırı kampanyasında Venom RAT ve benzeri uzaktan erişim truva atları (RAT) dağıtıyor. Rus siber güvenlik firması Kaspersky, 2025 yazında gözlemlenen bu faaliyetleri RevengeHotels adı altında takip ediyor.
Kaspersky araştırmasına göre, tehdit aktörleri JavaScript yükleyicileri ve PowerShell indiricileri aracılığıyla Venom RAT implantlarını fatura temalı oltalama e-postalarıyla hedeflerine ulaştırıyor. İlginç şekilde, başlangıç enfektörü ve indirici kodun önemli bir bölümü büyük dil modeli (LLM) ajanları tarafından oluşturulmuş gibi görünüyor, bu da siber suç gruplarının yapay zekayı yöntemlerine entegre ettiğinin göstergesi.
RevengeHotels’in Gelişen Taktikleri
2015’ten beri aktif olan RevengeHotels, Latin Amerika’daki konaklama ve seyahat sektörünü hedef alarak ele geçirilen sistemlere çeşitli kötü amaçlı yazılımlar yüklüyor. Erken kampanyalarda Microsoft Office’teki CVE-2017-0199 uzaktan kod yürütme açığını kullanan Word, Excel ve PDF ekleriyle Revenge RAT, NjRAT, NanoCoreRAT gibi RAT’lar dağıtılıyordu. Daha sonraki saldırılarda ise Agent Tesla, AsyncRAT, FormBook, GuLoader, LokiBot ve Remcos RAT gibi farklı kötü amaçlı yazılımlar kullanıldı.
Yapay Zeka Destekli Scriptler ve Teknik Ayrıntılar
Kaspersky, son kampanyalarda Portekizce ve İspanyolca oltalama e-postalarıyla otel rezervasyonları ve iş başvurusu tuzakları kurulduğunu belirtiyor. Bu e-postalar, WScript JavaScript yükleyicisinin indirilmesini tetikliyor. Scriptin yoğun yorumlu yapısı ve formatı, LLM ajanları tarafından üretildiğine işaret ediyor. Script, enfeksiyonu kolaylaştıran sonraki PowerShell scriptlerini indirip çalıştırıyor. PowerShell scripti, harici bir sunucudan “cargajecerrr.txt” adlı indiriciyi alıyor ve bu indirici Venom RAT’ı başlatan iki ek yükü getiriyor.
Venom RAT’ın Özellikleri ve Savunma Mekanizmaları
Venom RAT, açık kaynaklı Quasar RAT tabanlı ticari bir araç olup, ömür boyu lisansı 650 dolar, HVNC ve Stealer bileşenleri içeren aylık aboneliği ise 350 dolar fiyatla sunuluyor. Kötü amaçlı yazılım, veri sızdırma, ters vekil sunucu işlevi ve anti-kill koruması gibi gelişmiş özelliklere sahip. Anti-kill mekanizması, çalışan işlemlerin Discretionary Access Control List (DACL) izinlerini değiştirerek müdahaleyi engelliyor ve belirli işlemleri kullanıcı onayı olmadan sonlandırıyor. Ayrıca, Windows Kayıt Defteri değişiklikleriyle kalıcılık sağlıyor ve kötü amaçlı yazılımı yeniden başlatabiliyor.
Yükseltilmiş ayrıcalıklarla çalıştığında SeDebugPrivilege belirtecini ayarlayarak kendisini kritik sistem işlemi olarak işaretliyor, böylece sonlandırma girişimlerine karşı direnç kazanıyor. Bilgisayarın ekranının açık kalmasını sağlıyor ve uyku moduna geçmesini engelliyor. Ayrıca, çıkarılabilir USB sürücülerle yayılabiliyor, Microsoft Defender Antivirus işlemini sonlandırabiliyor ve güvenlik yazılımlarını devre dışı bırakmak için görev zamanlayıcı ve Kayıt Defteri üzerinde değişiklikler yapıyor.
Sonuç ve Değerlendirme
Kaspersky, RevengeHotels’in yeteneklerini önemli ölçüde geliştirdiğini ve konaklama ile turizm sektörlerine yönelik yeni taktikler geliştirdiğini vurguluyor. LLM ajanlarının yardımıyla grup, oltalama tuzaklarını hızla oluşturup değiştirebiliyor ve saldırılarını yeni bölgelere yayabiliyor.