BITTER olarak da bilinen kötü şöhretli APT-C-08 bilgisayar korsanlığı grubunun, Güney Asya’daki hükümet kuruluşlarına karşı karmaşık saldırılar başlatmak için kritik bir WinRAR dizin geçiş güvenlik açığını (CVE-2025-6218) silah olarak kullandığı gözlemlendi.
Grup, hassas sistemlere sızmak ve gizli bilgileri çalmak için kolayca yararlanılabilen bu kusurdan yararlandığından, bu gelişme, tehdit aktörünün yeteneklerinde endişe verici bir evrime işaret ediyor.
APT-C-08, Güney Asya devlet kurumlarıyla doğrulanmış bağları olan gelişmiş bir kalıcı tehdit grubudur.
Örgüt sürekli olarak Güney Asya ve komşu bölgelerdeki hükümetleri, denizaşırı kurumları, üniversiteleri ve askeri-endüstriyel kompleksleri hedef aldı.
Temel hedefleri, güçlü siyasi motivasyonların yönlendirdiği hassas bilgilerin çalınması olmaya devam ediyor. Grup, çeşitli saldırı vektörleri kullanarak ve kurbanları kötü amaçlı belgeleri açmaya ve zararlı veriler indirmeye yönlendiren sosyal mühendislik taktikleri konusunda uzmanlaşarak gelişmiş bir zanaat sergiliyor.
WinRAR Güvenlik Açığı
Güvenlik araştırmacıları kısa süre önce APT-C-08’in WinRAR 7.11 ve önceki sürümlerini etkileyen bir dizin geçişi güvenlik açığı olan CVE-2025-6218’den yararlandığını ortaya çıkaran örnekler yakaladı.
| Bağlanmak | Detaylar |
|---|---|
| MD5 Karma | f6f2fdc38cd61d8d9e8cd35244585967 |
| Dosya adı | AJK.rar’a Sektörel Bilgi Verilmesi |
| Dosya Boyutu | 51,4 KB (52.674 bayt) |
| Tanım | Güvenlik açıklarından yararlanma |
| Başvurulan CVE | CVE-2025-6218 |
Bu, grubun bu özel kusuru silah haline getirdiğinin gözlemlenen ilk örneğini işaret ediyor. Güvenlik açığından yararlanma zorluğunun düşük olması, kullanıcıların WinRAR kurulumlarını güncelleme konusundaki yaygın başarısızlığıyla birleştiğinde, tehdit aktörleri için ideal bir saldırı yüzeyi oluşturuyor.
Bu istismarın ciddiyeti ve erişilebilirliği göz önüne alındığında, güvenlik ekipleri, tehdidin hızlı bir şekilde azaltılmasını sağlamak için kamuya açıklanmaya öncelik verdi.
Saldırı, “AJK.rar için Sektörel Bilgi Sağlama” (MD5: f6f2fdc38cd61d8d9e8cd35244585967) adlı silahlandırılmış bir RAR arşiviyle başlıyor.
Bu 51,4 KB sıkıştırılmış dosya, CVE-2025-6218 güvenlik açığından yararlanarak beklenen dosya sistemi sınırlarını aşıyor ve saldırganların kötü amaçlı dosyaları yetkisiz dizin konumlarına dağıtmasına olanak tanıyor.
Güvenlik açığı, dosya çıkarma sırasında hatalı yol normalleştirmesinden kaynaklanmaktadır. WinRAR’ın çıkarma işlemi, yol ayırıcılardan önce karakterleri kontrol ederek özellikle boşluk veya noktaları arar.
Ancak geliştiriciler yolların nokta-nokta gösteriminden sonra boşluk içerdiği senaryoları gözden kaçırdılar. Saldırganlar, güvenlik kontrollerini atlayan ve dizin geçişini mümkün kılan “\.. \” gibi özel hazırlanmış yollar oluşturarak bu gözetimden yararlandılar.
Tehdit aktörleri, istismar başarısını en üst düzeye çıkarmak için arşive iki kötü amaçlı dosya yolu yerleştirdi: “/.. /.. /AppData/Roaming/Microsoft/Templates/Normal.dotm” ve “/.. /.. /.. /AppData/Roaming/Microsoft/Templates/Normal.dotm”. Başarılı kullanımı sağlayan kritik detay, “..” işaretinden sonra stratejik olarak yerleştirilmiş alandır.
Kurbanlar, savunmasız WinRAR sürümlerini kullanarak kötü amaçlı arşivi çıkardıklarında, saldırı, silahlı bir Normal’i dağıtır. dotm dosyasını (MD5: 4bedd8e2b66cc7d64b293493ef5b8942) C:\Users$$username]\AppData\Roaming\Microsoft\Templates konumundaki Microsoft Word şablonları dizinine kopyalayın.
Bu 19,9 KB makro özellikli şablon, kurbanlar sistemlerinde herhangi bir Word belgesini açtığında otomatik olarak yüklenir ve ek kullanıcı etkileşimi gerektirmeden kalıcı kötü amaçlı kod yürütülmesini sağlar.
Kötü Amaçlı Yük İşlevselliği
Dağıtılan Normal.dotm, uzaktan bağlantı kurmak ve ek saldırı bileşenleri indirmek için tasarlanmış kötü amaçlı makrolar içerir.
Makro, uzak dizinleri yerel sistemle eşlemek için ağ komutlarını çalıştırır; özellikle saldırganın kontrol ettiği altyapıdaki “winnsc.exe”yi hedef alır ve çalıştırır.
Winnsc.exe indiricisi, ana bilgisayar adı, kullanıcı adı ve işletim sistemi sürümü dahil olmak üzere sistem keşif verilerini toplayarak çalışır.
Bu bilgiler, Teamlogin.esanojinjasvc adresindeki komuta ve kontrol sunucusuna iletilir.[.]com.tr HTTP POST isteklerini kullanarak. Kötü amaçlı yazılım, sunucu yanıtlarına dayanarak, genellikle APT-C-08 işlemleriyle ilişkilendirilen C# truva atları da dahil olmak üzere sonraki yükleri alır ve çalıştırır.
Güvenlik araştırmacıları, “Weekly AI Article.rar” (MD5: 84128d40db28e8ee16215877d4c4b64a) adlı sıkıştırılmış dosyayı kullanarak ikinci bir saldırı varyantını tespit etti.
Bu 596 KB arşiv, aynı yararlanma tekniklerini kullanarak, Tapeqcqoptions’tan komutları indiren ve çalıştıran başka bir kötü amaçlı Normal.dotm (MD5: f8b237ca925daa3db8699faa05007f12) dağıtıyor.[.]com.
Çıkarımlar ve Öneriler
APT-C-08’in CVE-2025-6218’i benimsemesi, grubun devam eden gelişimini ve teknik gelişmişliğini göstermektedir.
Dizin geçişinden yararlanmanın kalıcı şablon tabanlı yürütmeyle birleşimi, geleneksel güvenlik kontrollerinden kaçma yeteneğine sahip oldukça etkili bir saldırı zinciri oluşturur. Kuruluşlar, özellikle de Güney Asya’daki devlet kurumları, bu kampanyalar nedeniyle yüksek riskle karşı karşıyadır.
Güvenlik ekipleri WinRAR’ı CVE-2025-6218 yamasını uygulayan sürümlere güncellemeye öncelik vermelidir. Kullanıcılar, bilinmeyen kaynaklardan, özellikle de e-posta veya dosya paylaşım platformları aracılığıyla gönderilen RAR arşivlerinden gelen sıkıştırılmış dosyaları kullanırken çok dikkatli olmalıdır.
Güçlü e-posta güvenlik filtrelemesi, uç nokta algılama ve yanıt çözümleri ve kullanıcı güvenliği farkındalığı eğitiminin uygulanması, başarılı suistimal girişimlerini önemli ölçüde azaltabilir.
Microsoft Word şablonu değişikliği yoluyla gerçekleştirilen bu saldırının kalıcı yapısı, kuruluşların Şablonlar dizinini yetkisiz değişikliklere karşı izlemesini ve yetkisiz makro yürütmeyi önlemek için uygulamayı izin verilenler listesine eklemesini gerektirir.
Kritik dizinlerin düzenli güvenlik denetimleri ve gelişmiş günlük kaydı, saldırganlar casusluk hedeflerine ulaşmadan önce tehlike göstergelerini tespit edebilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.