Hindistan’ın en büyük kötü amaçlı yazılım analiz tesisi Seqrite Labs, Pakistan’a uyumlu tehdit grupları APT36 ve Sepetopy tarafından düzenlenen Sindoor Operasyonu olarak adlandırılan sofistike bir kampanyayı ortaya çıkardı.
7 Mayıs 2025’te piyasaya sürülen bu devlet destekli gelişmiş Kalıcı Tehdit (APT) faaliyeti, koordineli hacktivist operasyonlarla birleştiğinde, savunma, hükümet BT altyapısı, sağlık, telekom ve eğitim dahil olmak üzere Hindistan’ın kritik sektörlerini hedef aldı.
Sindoor Operasyonu Unleashes
Kampanya, siber casusluk ve hibrid savaş taktikleri yoluyla ulusal operasyonları istikrarsızlaştırmayı amaçlayan ölümcül bir mızrak kimlik avı, kötü amaçlı senaryolar, web sitesi defasatları ve veri sızıntıları kullanıldı.
.png
)
Seqrite’ın telemetrisi, 7-10 Mayıs arasında 650’den fazla DDO ve defans olayı kaydetti ve bunlardan yedisi yeni ortaya çıkan 35 hacktivist grubun katılımının yanı sıra teknik müdahale ve psikolojik operasyonların endişe verici bir yakınsamasına işaret etti.
Sindoor Operasyonunun teknik karmaşıklığı, eski Poseidon yükleyicilerinden modüler ve kaçamak ares sıçanına geçiş yapan APT36’nın gelişmiş taktikleri, teknikleri ve prosedürlerinde (TTP’ler) belirgindir.
Bu kötü amaçlı yazılım çerçevesi, ticari fareleri taklit eden ancak gizli için uyarlanmış olan, anahtarlama, ekran yakalama, dosya manipülasyonu, kimlik bilgisi hırsızlığı ve uzaktan komut yürütme sağlar.
Aldatıcı taktikler maruz kaldı
İlk erişim, genellikle Pahalgam terör saldırısı gibi olaylara bağlı acil, bağlamsal olarak ilgili isimlerle gizlenmiş .ppam, .xlam, .lnk, .xlsb ve .msi gibi dosya türleri kullanılarak ilk erişim elde edildi.
Bu dosyalar, Fogomyart gibi kötü amaçlı alanlara web sorguları yürüten makroları tetikledi[.]com, Zohidsindia gibi sahte Hint varlıkları aracılığıyla teslim edilen yüklerle[.]com ve nationaldefensecollege[.]com.
Komut ve kontrol (C2) iletişimi, uygulama katmanı protokolleri aracılığıyla IP 167.86.97’ye yönlendirildi[.]58: 17854, Crimson Rat C2 sunucusu olarak tanımlanmıştır.
Kalıcılık için APT36, kara ikili dosyalarından (Lolbins), planlanan görevlerden, UAC bypass’larından ve gizlenmiş PowerShell komut dosyalarından kaldırıldı ve tespit ederken uzun süreli erişim sağladı.
Rapora göre, #Opindia gibi hashtag’ler altındaki paralel hacktivist çabaları, DDOS saldırıları ve veri sızıntıları yoluyla bozulmaları artırdı ve Savunma Bakanlığı, NIC, GSTN, AIIMS, Jio ve BSNL gibi varlıkları hedef aldı.
Pahalgamattack gibi aldatıcı alanların kullanımı[.]com ve operationsIndoor2025[.]sömürülen jeopolitik anlatılarda, resmi dijital iletişime olan güveni zayıflatır.
Etki, derin veri yayılımı hassas belgeleri ve kimlik bilgilerini tehlikeye atmıştır, DDOS saldırıları kritik hizmetleri bozmuştur ve web sitesi açıklamaları, Hindistan’ın siber güvenlik duruşundaki güvenlik açıklarını ve artan jeopolitik gerilimleri vurgulayarak kamu güvenine zarar vermiştir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Detaylar |
|---|---|
| Kötü niyetli alanlar | pahalgamattack[.]com, Sindoor[.]Canlı, operasyonlardoor2025[.]NationalDefensecollege[.]com, fogomyart[.]com/random.php |
| Kötü niyetli dosyalar | Xlam, PPAM, pptx.lnk, pdf |
| Geri Arama IP | 167.86.97[.]58: 17854 (Kızıl Sıçan C2) |
| VPS Trafik Organizasyonu | Rusya, Almanya, Endonezya, Singapur |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!