Ekim 2025’te Cyble Araştırma ve İstihbarat Laboratuvarları’ndaki (CRIL) siber güvenlik araştırmacıları, askeri belgeler kılığında silahlı ZIP arşivlerini dağıtan karmaşık bir kötü amaçlı yazılım saldırısını ortaya çıkardı.
Saldırı özellikle “ТЛГ на убытие на переподготовку.pdf” (yeniden eğitim için yola çıkmak için TLG.pdf) başlıklı bir yem belgesi aracılığıyla Belarus askeri personelini hedef aldı; operasyonun bölgesel askeri yetenekler, özellikle de insansız hava aracı ve drone operasyonlarında uzmanlaşmış Özel Harekat Komutanlığı personeli hakkında istihbarat toplamaya odaklandığını gösteren kanıtlar var.
Bu çok aşamalı saldırı, siber casusluk tekniklerinde önemli bir evrimi temsil ediyor; hedeflenen sistemlerde kalıcı arka kapı erişimi oluşturmak için çift dosya uzantıları, korumalı alan önleme doğrulama kontrolleri ve gizlenmiş PowerShell yürütme gibi gelişmiş kaçınma yöntemlerini kullanıyor.
Kötü amaçlı yazılım, Windows için OpenSSH’yi obfs4 trafiğini gizleme özelliğine sahip özelleştirilmiş bir Tor gizli hizmetiyle birleştirerek, tehdit aktörlerine SSH, RDP, SFTP ve SMB protokolleri aracılığıyla anonim uzaktan erişim sağlayan karmaşık bir altyapı dağıtıyor.
Gelişmiş Kaçınma Teknikleri
Saldırı notları; ZIP arşivlerini, LNK dosya gizlemelerini ve otomatik algılama sistemlerini atlatmak için özel olarak tasarlanmış korumalı alan önleme denetimlerini iç içe geçirdi.
Kötü amaçlı yazılım, yükünü çalıştırmadan önce, en az on yeni LNK dosyasını ve en az elli çalışan işlemi kontrol ederek sistem özelliklerini doğrular; bu koşullar genellikle korumalı alan ortamlarında mevcut değildir ancak gerçek kullanıcı makinelerinde mevcuttur.
İlk olarak Powershell, “persistentHandlerHashingEncodingScalable.zip” içeriğini İndirilenler klasöründen %appdata%\logicpro dizinine çıkarmak için Expand-Archive komutunu kullanır.
Bu doğrulama, kötü amaçlı yazılımın meşru iş istasyonlarına bulaşmaya devam ederken analiz ortamlarında sona ermesini sağlar.
obfs4 takılabilir aktarımın uygulanması, Tor trafiğini etkili bir şekilde normal ağ etkinliği olarak gizleyen ve önceki kampanyalarda kullanılan standart Tor protokollerine kıyasla tespit etmeyi önemli ölçüde daha zorlu hale getiren büyük bir teknik ilerlemeyi temsil ediyor.
Saldırganlar, gizli Tor hizmetleri aracılığıyla SSH, RDP, SFTP ve SMB dahil olmak üzere birden fazla protokole erişim elde ederek anonimliği korurken tam sistem kontrolüne olanak tanır.
Tüm iletişimler, önceden yüklenmiş kriptografik RSA anahtarları kullanılarak anonim soğan adresleri aracılığıyla yönlendirilir ve güvenlik uyarılarını tetikleyebilecek anında anahtar oluşturma ihtiyacını ortadan kaldırır.
Bu saldırıda kullanılan taktikler, teknikler ve prosedürler, Rusya bağlantılı ileri düzey kalıcı bir tehdit grubu olan Sandworm (APT44 ve UAC-0125 olarak da bilinir) ile yakından uyumludur.
Ancak araştırmacılar, belirlenmiş bir hedefleme modeli olmadan, yüksek güvenirliğe sahip ilişkilendirmenin bu aşamada doğrulanamayacağını vurguluyor.
Daha geniş bağlam, Ukrayna’daki CERT-UA ve SSSCIP’nin 2025’in ilk yarısında 3.000’den fazla siber olayı belgeleyen istihbarat raporlarıyla uyumludur; bunların çoğu yapay zeka tarafından oluşturulan kimlik avı içeriğinden ve giderek daha karmaşık hale gelen kötü amaçlı yazılımlardan yararlanmaktadır.
Taktik modellere, örtüşen altyapıya ve Aralık 2024 Army+ harekâtından evrimine dayanan bu saldırı, Sandworm’s Unit 74455 ile ilişkili kanıtlanmış tekniklerin sürekli olarak iyileştirildiğini göstermektedir.
Bu birim, 2013’ten beri Ukrayna’nın askeri ve kritik altyapısına karşı çok sayıda siber saldırı gerçekleştirdi; bunlara 2015’te elektrik kesintilerine neden olan BlackEnergy saldırıları, 2017’deki büyük ölçekli NotPetya kötü amaçlı yazılım salgını ve Ukrayna’nın en büyük telekomünikasyon sağlayıcısı Kyivstar’ın 2023’teki ihlali de dahil.
Aralık 2024 Army+ sahte yükleyici kampanyası, Tor aracılığıyla gizli SSH erişimi oluşturmak için PowerShell komut dosyalarını dağıtan sahte Cloudflare Workers siteleri aracılığıyla dağıtılan kötü niyetli NSIS yükleyicilerini içeren doğrudan bir öncü görevi görüyor.
Mevcut tehdit, gelişmiş güvenli Tor iletişimi için obfs4’ün eklenmesi, güvenilir kalıcılık için planlanmış görevlerin uygulanması ve tespit riskini ve operasyonel ayak izini en aza indirmek için önceden oluşturulmuş RSA anahtarlarının stratejik kullanımı dahil olmak üzere önceki operasyonlara göre taktiksel iyileştirmeler göstermektedir.
Çoklu Protokol Erişim Çerçevesi
Bulaşma zinciri, kurbanların kötü amaçlı ZIP arşivini çıkarması ve ek yükler içeren gizli bir dizinin yanında PDF belgesi kılığına girmiş bir LNK dosyasıyla karşılaşmasıyla başlıyor.
Meşru bir askeri belge gibi görünen bir belge açıldığında, LNK dosyası, dosyaları sistemin AppData dizinine çıkaran ve ikinci aşama bir komut dosyasını çalıştıran PowerShell komutlarını tetikler.
Bu komut dosyası, Minsk Oblastı’ndaki B/4 89417 askeri birliğinden gelen 16 Ekim 2025 tarihli, orijinal görünümlü Rusça askeri emri gösteren, tehdit aktörünün askeri operasyonlar ve idari prosedürler hakkındaki anlayışını gösteren sahte bir PDF görüntüler.
Kurbanlar sahte belgeyi incelerken, kötü amaçlı yazılım iki planlanmış görev aracılığıyla kalıcılık sağlıyor.
Bunlardan ilki, yasal yazılım gibi görünen Microsoft imzalı bir ikili dosya kullanarak ve katı RSA anahtar tabanlı kimlik doğrulamayla 20321 numaralı bağlantı noktasını dinleyen bir OpenSSH hizmetini dağıtır.
İkinci görev, 20322 numaralı bağlantı noktasında SSH, 11435 numaralı bağlantı noktasında SMB dosya paylaşımı ve 13893 numaralı bağlantı noktasında Uzak Masaüstü Protokolü dahil olmak üzere birden çok Windows hizmeti için bağlantı noktası yönlendirmeli bir Tor gizli hizmeti oluşturur.
PuTTY, localhost SOCKS5 proxy ayarlarıyla yapılandırıldı ve çıkarılan RSA özel anahtarı, kimlik doğrulama için PuTTYgen kullanılarak PPK formatına dönüştürüldü.
Kötü amaçlı yazılım, gizli hizmeti kurduktan sonra, tehlikeye atılan sistemi tanımlayan benzersiz bir soğan URL’si oluşturur ve bunu, agresif yeniden deneme mantığıyla curl kullanarak komuta ve kontrol altyapısına sızdırır.
CRIL araştırmacıları, arka kapı işlevselliğini doğrulamak için SSH aracılığıyla başarılı bir şekilde bağlantı kurdu, ancak izleme sırasında hiçbir ikincil yük veya kullanım sonrası eylem gözlemlenmedi; bu, operasyonun aktif kullanımdan önce keşif veya gözetleme aşamalarında kaldığını gösteriyor.
Obfs4 ile gizlenen Tor iletişimleri ağ tabanlı algılamayı önemli ölçüde daha zorlu hale getirdiğinden, savunma ekipleri uç nokta davranışını analiz etmeye, süreç yürütme zincirlerini izlemeye ve planlanmış görevleri denetlemeye odaklanmalıdır.
Gerçekçi askeri belgeler kullanan askeri birimler ve savunma sektörü kuruluşları, gelişmiş güvenlik farkındalığı eğitimi ve uç nokta tespit yeteneklerinin gerekliliğini vurgulayarak sosyal mühendislik saldırılarına karşı özellikle savunmasız olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.