Yeni ortaya çıkarılan bir kampanyada, Bitter olarak bilinen (aynı zamanda APT-Q-37 olarak da takip edilen) tehdit grubu, C# arka kapısı sunmak ve hassas bilgileri sifonlamak için hem kötü amaçlı Office makrolarından hem de önceden belgelenmemiş bir WinRAR yolu geçiş güvenlik açığından yararlandı.
Qi’anxin Tehdit İstihbarat Merkezi’ndeki araştırmacılar, bu çift yönlü saldırının, grubun gelişen taktiklerini ve Çin, Pakistan ve diğer stratejik bölgelerdeki hükümet, elektrik enerjisi ve askeri sektörlerdeki yüksek değerli hedeflere odaklandıklarını gösterdiği konusunda uyarıyor.
Acı veya 蔓灵花’nun Güney Asya üssünden faaliyet gösterdiğine yaygın olarak inanılıyor ve birkaç yıldır aktif durumda.
Grup, geçmişte devlet kurumlarına ve kritik altyapı operatörlerine karşı yüksek hedefli casusluk operasyonları yürüttü.
Araç setleri geleneksel olarak makro etkinleştirilmiş Office belgeleri ve özel arka kapılarla dolu hedef odaklı kimlik avı e-postalarını içeriyordu.
Ağ altyapısı ve komut dosyası kalıplarına ilişkin son analizler, Bitter’a yapılan atıfları, özellikle de daha önceki Vermillion Bitter kampanyalarıyla uyumlu alan adlarının kullanımını sağlamlaştırdı.
Olaya Genel Bakış
Qi’anxin’in analistleri, her biri uzak sunuculardan rastgele EXE dosyalarını alıp çalıştırabilen bir C# arka kapısının konuşlandırılmasıyla sonuçlanan iki saldırı modunu gösteren çok sayıda örnek kurtardı.
Mod 1’de, Conference.xlam için Aday Yetkililer adlı kötü amaçlı bir XLAM dosyası, kurbanlardan makroları etkinleştirmelerini ister ve ardından kullanıcıları sahte bir güvenlik duygusuna kaptırmak için sahte bir “Dosya ayrıştırma başarısız” mesajı görüntüler.
Sahne arkasında, yerleşik VBA makrosu, Base64 ile kodlanmış bir C# kaynak dosyasının kodunu çözerek C:\ProgramData\cayote.log.
Daha sonra kodu derler C:\ProgramData\USOShared\vlcplayer.dll csc.exe’yi kullanarak InstallUtil.exe aracılığıyla yükler.
Kalıcılık, Başlangıç klasörüne yerleştirilen ve başlangıç klasörüne yinelenen bağlantıları zamanlayan bir toplu komut dosyasıyla sağlanır. hxxps://www.keeferbeautytrends.com/d6Z2.php?rz= Daha fazla talimat almak için.
Mod 2’de saldırganlar, kullanıcının Word şablonunun üzerine yazmak için WinRAR yolu geçiş güvenlik açığından yararlanır (Normal.dotm).
Hem iyi huylu görünümlü bir paketi paketleyerek Document.docx ve gizli Normal.dotm Hazırlanmış bir RAR arşivi içindeki bu istismar, kurbanın arşivi (çoğunlukla doğrudan İndirilenler klasörüne) çıkardığında, kötü amaçlı şablonun meşru şablonun yerini almasını sağlar.
Herhangi bir DOCX dosyasını açtıktan sonra Word, değiştirilen dosyayı yükler. Normal.dotmuzak bir paylaşımı bağlayan ve yürüten winnsc.exedaha önce gözlemlenen aynı C# arka kapısı.
İlk varsayımlar CVE-2025-8088’i işaret ediyordu, ancak testler güvenlik açığının 7.12’den önceki WinRAR sürümlerini etkilediğini doğruladı; bu da daha eski, yama yapılmamış bir güvenlik açığına işaret ediyor.
Detaylı Analiz ve Arka Kapı İşlevselliği
Arka kapının kaynak kodu, içinde saklanıyor cayote.logyapılandırma dizelerini gizlemek için AES şifre çözme rutinlerini kullanır.
Birincil döngüsü, aygıt ayrıntılarını (işletim sistemi sürümü, mimari, ana bilgisayar adı ve geçici dizin yolu) toplar ve bunları POST aracılığıyla hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxbds23.php. Sunucunun yanıtı, ek EXE yükleri için indirme talimatlarını kodlar.
Daha sonraki talepler drdxcsv34.php Kötü amaçlı yazılımın, ikili dosyayı doğrulamadan ve çalıştırmadan önce DOS başlıklarına önek ekleyerek onardığı ham EXE verilerini getirir. Yürütme sonuçları geri bildirilir drxcvg45.php.
Aynı arka kapı mantığı burada da mevcuttur. winnsc.exeher iki saldırı vektörünün de sonuçta ortak bir implant üzerinde birleştiğini doğruluyor.
Teamlogin.esanojinjasvc.com gibi birden fazla alan adı, tümü Nisan 2025’te kaydedilen C2 altyapısı olarak hizmet veriyor ve bu örneklerin tek bir Bitter operasyonundan türetildiği sonucunu güçlendiriyor.
Koruma Önerileri
Qi’anxin Tehdit İstihbarat Merkezi, kuruluşları çok katmanlı bir savunma stratejisi benimsemeye çağırıyor:
- İstenmeyen e-posta eklerine veya bilinmeyen kaynaklardan gelen bağlantılara karşı dikkatli olun.
- Office uygulamalarında makro yürütmeyi devre dışı bırakın veya kısıtlayın.
- WinRAR ve diğer arşiv yardımcı programları için en son yamaları uygulayın.
- Anormal trafiği tespit etmek için ağ bölümlendirmesini kullanın ve giden POST isteklerini izleyin.
- Güvenilmeyen dosyaları yürütmeden önce incelemek için Qi’anxin’in Dosya Derinliği Analiz Platformu gibi korumalı alan analiz platformlarını kullanın.
Bitter, sosyal mühendislik ile sıfır gün istismarını birleştirerek saldırı yeteneklerini genişletme konusundaki çevikliğini ortaya koyuyor. Dikkat, zamanında yama yönetimi ve proaktif tehdit avcılığı, bu tür karmaşık izinsiz girişlerin engellenmesinde kritik öneme sahip olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.