Manlinghua veya BITTER olarak da bilinen gelişmiş kalıcı tehdit grubu APT-C-08, WinRAR’daki kritik bir dizin geçiş güvenlik açığından yararlanarak Güney Asya’daki hükümet kuruluşlarını hedef alan karmaşık bir kampanya başlattı.
Güvenlik araştırmacıları, grubun CVE-2025-6218’i ilk operasyonel kullanımını tespit etti; bu kusur, WinRAR 7.11 ve önceki sürümlerini etkileyen, saldırganların dosya sistemi sınırlarını aşmasına ve güvenliği ihlal edilmiş sistemlerde kötü amaçlı kod yürütmesine olanak tanıyan bir kusurdu.
APT-C-08, Güney Asya hükümetleriyle köklü ilişkiler sürdürüyor ve tarihsel olarak devlet kurumlarından, askeri-endüstriyel kompleksten, denizaşırı kurumlardan ve üniversitelerden hassas bilgileri çalmaya odaklandı.
Tehdit grubu, kötü amaçlı belgeleri saldırı giriş noktaları olarak silah haline getirme ve güvenlik farkındalığını aşmak için tasarlanmış sosyal mühendislikle tasarlanmış yükleri titizlikle oluşturma konusunda ustalık gösterdi.
Bu son kampanya, WinRAR’ın kurumsal ortamlardaki tutarsız güncelleme mekanizmaları nedeniyle yamalanması zor olan bir güvenlik açığından yararlanarak önemli bir artışı temsil ediyor.
Güvenlik analistleri ve araştırmacılar, kötü amaçlı yazılım kampanyasını, “AJK için Sektörel Bilgi Sağlama” gibi yanıltıcı şekilde adlandırılmış dosyalar içeren silahlı RAR arşivlerini keşfederek belirlediler.[.]rar’dır.”
Kötü amaçlı arşiv, WinRAR’ın yol normalleştirmesini atlatan bir teknik olan, dizin geçiş dizilerinden sonra boşluklar içeren özel hazırlanmış dosya yollarından yararlanarak CVE-2025-6218’den yararlanıyor.
Kurbanlar arşivi çıkardığında, istismar kötü amaçlı bir Normal dosyası bırakır.[.]dotm makro dosyasını C’deki Windows şablon dizinine kopyalayın[:]\ Kullanıcılar[username]\ AppData\ Roaming\ Microsoft\ Templates, Microsoft Word’ün otomatik şablon yükleme mekanizması aracılığıyla kalıcılık sağlıyor.
Enfeksiyon Mekanizması ve Kod Yürütme
Saldırı zinciri, Windows sistem mimarisinin gelişmiş bir anlayışını göstermektedir.
Çıkartmanın ardından, kötü niyetli Normal[.]Kurban herhangi bir Word belgesini açtığında dotm dosyası (“MD5: 4bedd8e2b66cc7d64b293493ef5b8942”) çalıştırılıyor ve uzak dizinleri yerel makineye eşlemek için “net use” komutunu çalıştıran VBA makrolarını tetikliyor.
Daha sonra makro winnsc’yi başlatır.[.]exe’yi uzak sunucudan alarak komut yürütme yeteneklerini oluşturur.
Bu iki aşamalı bulaşma yaklaşımı, ilk belgenin açılmasının şüphe yaratmadan bulaşmayı tetiklemesini sağlar ve operatörlerin kalıcı uzaktan erişim kurarken gizliliği korumalarına olanak tanır.
Açıktan yararlanmanın düşük zorluğu ve yüksek başarı oranı, güvenlik topluluklarını tüm WinRAR kurulumlarına derhal yama uygulanmasını ve Microsoft Office şablonlarında makro yürütülmesini kısıtlamak için uygulama izin verilenler listesine eklemeyi önermeye yöneltti.
Hassas devlet bilgilerini işleyen kuruluşlar, şüpheli ağ haritalama faaliyetleri ve makro tabanlı güvenlik ihlali göstergeleri için tehdit algılama izlemesine öncelik vermelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
