Ekim 2025’te Cyble Araştırma ve İstihbarat Laboratuarlarındaki tehdit araştırmacıları, savunma sektörü personelini hedef alan gelişmiş bir SSH-Tor arka kapısını dağıtmak için silahlı askeri belgelerden yararlanan karmaşık bir siber saldırıyı ortaya çıkardı.
Kampanya, aldatıcı derecede basit bir dağıtım mekanizmasına odaklanıyor: İnsansız hava aracı operasyonlarında uzmanlaşmış Özel Harekat Komutanlığı personelini cezbetmek için özel olarak tasarlanmış, “ТЛГ на убытие на переподготовку.pdf” (yeniden eğitim için yola çıkmak için TLG) başlıklı bir Belarus askeri belgesi olarak gizlenen bir ZIP arşivi.
Saldırı, kalıcı arka kapı erişimi sağlamak için sosyal mühendisliği gelişmiş teknik karşı önlemlerle birleştiren, devlet destekli siber casusluk tekniklerinde önemli bir evrimi temsil ediyor.
Cyble analistleri, kötü amaçlı yazılımın Windows için OpenSSH’yi, obfs4 trafik gizleme özelliğine sahip özelleştirilmiş bir Tor gizli hizmetinin yanı sıra tehdit aktörlerine ele geçirilen sistemlerde SSH, RDP, SFTP ve SMB protokollerine anonim erişim sağladığını belirledi.
Araştırmacılar, arka kapının operasyonel işlevselliğini doğrulamak için SSH aracılığıyla başarılı bir şekilde bağlantı kurdu, ancak analiz sırasında hiçbir ikincil yük veya kullanım sonrası eylem gözlemlenmedi.
Tehdit ilişkilendirme analizi, 2013’ten bu yana Ukrayna ordusunu ve kritik altyapıyı hedef aldığı bilinen, Rusya bağlantılı ileri düzey kalıcı bir tehdit grubu olan UAC-0125/Sandworm (APT44) ile orta düzeyde güven uyumu olduğunu gösteriyor.
.webp)
Taktik kalıplar, altyapı örtüşmeleri ve operasyonel metodolojiler, Aralık 2024 Army+ harekâtını yansıtıyor ve Sandworm’un kanıtlanmış saldırı tekniklerini sürekli olarak geliştirdiğini gösteriyor.
Çok Aşamalı Enfeksiyon Mekanizması ve Kaçınma Stratejisi
Saldırı zinciri, otomatik tespit sistemlerini dikkate değer bir gelişmişlikle atlatmak için iç içe geçmiş ZIP arşivlerini ve LNK dosya kılıklarını kullanıyor.
Kurbanlar, çıkarıldıktan sonra, “persistentHandlerHashingEncodingScalable.zip” başlıklı ek bir arşiv içeren “FOUND.000” adlı gizli bir dizinin yanında meşru bir PDF olarak görünen bir LNK dosyasıyla karşılaşırlar.
.webp)
Kurban, PDF belgesi gibi görünen bir dosyayı açmaya çalıştığında, LNK dosyası gömülü PowerShell komutlarını çalıştırıyor, iç içe geçmiş arşivi %appdata%\logicpro dizinine çıkarıyor ve yürütülmek üzere gizlenmiş PowerShell içeriğini alıyor.
Cyble analistleri, ikinci aşama PowerShell betiğine yerleştirilmiş kritik anti-analiz kontrollerini belirledi. Kötü amaçlı yazılım, sistemde en az 10 güncel LNK dosyasının bulunduğunu doğruluyor ve işlem sayısının 50’yi aştığını doğruluyor; bu eşikler korumalı alan ortamlarında nadiren karşılanıyor.
Bu çevresel farkındalık mekanizması, gerçek kullanıcı iş istasyonlarında ilerlerken otomatik analiz sistemlerindeki yürütmeyi sona erdirir.
Doğrulamanın ardından komut dosyası, oturum açma sırasında ve her gün 10:21 UTC’de yürütülecek şekilde yapılandırılan zamanlanmış görevler aracılığıyla kalıcılık oluştururken meşruluk yanılsamasını sürdürmek için tuzak bir PDF görüntüler ve güvenliği ihlal edilmiş altyapıya sürekli erişim sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
