Arcane Werewolf olarak bilinen ve aynı zamanda Mythic Likho olarak da takip edilen tehdit aktörü grubu, Loki 2.1 adlı özel kötü amaçlı yazılımının yeni bir sürümünü konuşlandırarak saldırı yeteneklerini yeniledi.
Ekim ve Kasım 2025’te araştırmacılar, bu grubun özellikle Rus imalat şirketlerini hedef alan kampanyalar başlattığını gözlemledi.
Grup, imalat sektörüne sürekli ilgi göstererek ve kötü amaçlı yazılım araç setini aktif olarak geliştirerek taktiklerini geliştirmeye devam ediyor.
Loki’nin bu son sürümü, artık hem Mythic hem de Havoc’un sömürü sonrası çerçeveleriyle çalıştığından, onu deneyimli saldırganların elinde daha esnek ve tehlikeli hale getirdiği için önemli bir yükseltmeyi temsil ediyor.
Kötü amaçlı yazılım, yasal üretim şirketlerinden geliyormuş gibi görünen, özenle hazırlanmış kimlik avı e-postaları yoluyla yayılıyor.
Mağdurlar, gerçek kuruluşları taklit eden sahte web sitelerine yönlendiren bağlantılar içeren mesajlar alıyor. Bu bağlantılara tıklandığında, saldırganların komuta ve kontrol sunucularında barındırılan ZIP arşivleri teslim edilir.
Bu yaklaşım işe yarıyor çünkü insanların, tanınmış markalardan ve kuruluşlardan geliyor gibi görünen e-postalara güvenme olasılıkları daha yüksek. Kurban arşivi indirip açtığında enfeksiyon zinciri başlıyor.
.webp)
Bi.Zone analistleri, dağıtım yöntemini takip edip bulaşma sürecini analiz ettikten sonra kötü amaçlı yazılımı tespit etti.
Saldırı, kurbanın ZIP arşivinde gizlenmiş kötü amaçlı bir kısayol dosyasını veya LNK dosyasını açmasıyla başlıyor.
Bu dosya, saldırganın sunucusundan görüntü dosyası olarak gizlenmiş bir yürütülebilir dosyayı indirmek için PowerShell’i kullanan bir komutu tetikler.
İndirilen dosya aslında Go programlama dilinde yazılmış ve içinde gizli kodlanmış veriler taşıyan bir damlalıktır.
Loki 2.1 Enfeksiyon Mekanizması
Go dropper, kodunu çözdüğü ve sırayla yürüttüğü iki ayrı veri içerir. İlk olarak, saldırganın komuta ve kontrol sunucusuyla iletişim kurmaktan sorumlu olan chrome_proxy.pdf adlı kötü amaçlı bir yükleyiciyi bırakıyor.
Kötü amaçlı yükleyici, virüs bulaşmış bilgisayardan bilgisayar adı, işletim sistemi sürümü, dahili IP adresleri ve kullanıcı adı dahil olmak üzere sistem bilgilerini toplar.
.webp)
Çalınan bu veriler AES şifreleme algoritması kullanılarak şifreleniyor ve HTTPS bağlantıları üzerinden saldırganlara geri gönderiliyor.
Yükleyici daha sonra, çalışan işlemlere kötü amaçlı kod eklemeye, kurbanın sistemine dosya yüklemeye veya hassas verileri sızdırmaya hazır olarak saldırganlardan gelecek komutları bekler.
Ek olarak yükleyici, virüs bulaşmış bilgisayardaki belirli işlemleri sonlandırabilir, böylece saldırganlara sistemin çalışması üzerinde önemli bir kontrol verebilir ve etkinliklerine müdahale edebilecek güvenlik araçlarını veya diğer yazılımları kaldırmalarına olanak tanıyabilir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
