6 Ağustos 2025’in ilk saatlerinde, Bouygues Telecom sofistike bir siber saldırı işaret eden anormal ağ trafiği tespit etti.
İlk adli günlükler, gelişmiş bir kötü amaçlı yazılım suşunun, idari kimlik bilgilerini hedefleyen bir mızrak aktı kampanyası aracılığıyla çevre savunmalarını ihlal ettiğini ortaya koydu.
Bu kampanya, daha az paketlenmiş bir VPN ağ geçidinde sıfır günlük bir güvenlik açığından yararlandı ve saldırganların çekirdek sistemler arasında özel bir arka kapı ve pivot dağıtmalarını sağladı.
İhlal ilerledikçe, kişisel tanımlayıcılar ve abonelik detayları içeren müşteri veritabanları, 6.4 milyon kullanıcı hesabını etkiledi.
Aşağıdaki saatlerde, Bouyguestelecom’un olay müdahale ekibi sınırlama protokollerini yürüttü, tehlikeye atılmış segmentleri izole etti ve maruz kalan kimlik bilgilerini iptal etti.
Hızlı artış, her yeniden başlatma üzerindeki şifre çözme rutinini yeniden yapılandıran kötü amaçlı yazılım polimorfik yükleyici tarafından yönlendirildi.
Bouyguestelecom analistleri, yükleyicinin dinamik olarak oluşturulan tuşlarla AES-ECB şifrelemesini kullandığını ve sanal alan ortamlarında imza tabanlı algılamayı engellediğini belirtti.
Operatör derhal CNIL’e bildirdi ve tüm uç noktalarda gelişmiş izleme kullanırken adli makamları bildirdi.
Hemen sınırlama önlemlerine rağmen, ihlalin etkisi Fransa’nın telekom manzarasında yankılanıyor.
Abone güveni değişti ve Bouygues Telecom’u özel destek hatları ve ücretsiz kimlik hırsızlığı koruması sunmaya teşvik etti.
Olay, görünüşte sağlam altyapılardan ödün vermek için harmanlanmış saldırı vektörlerinden yararlanan devlet destekli rakiplerin ortaya koyduğu gelişen tehdidin altını çiziyor.
Enfeksiyon mekanizması
Kötü amaçlı yazılımların enfeksiyon mekanizmasına daha derinlemesine bakmak, gizli yürütme için Windows Management Enstrümantasyonunu (WMI) kötüye kullanan çok aşamalı bir damlalık ortaya çıkarır. İlk dosya teslimatı üzerine – rutin bir güvenlik güncellemesi olarak gizlenir – damlalık bir WMI olay aboneliğini kaydeder:
$action = New-Object System.Management.EventQuery `
-ArgumentList "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_Processor'"
Register-WmiEvent -Query $action -SourceIdentifier TaskTrigger -Action {
Start-Process -FilePath "C:\Windows\Temp\sysupdate.exe" -ArgumentList "/silent"
}Bu mekanizma, CPU yük durumu her değiştiğinde, kötü amaçlı yazılımın kullanıcı modu savunmalarını atlamasına izin vererek, yükün sistem ayrıcalıklarıyla çalışmasını sağlar.
Bir uzak komut arayüzü uygulayan bir DLL olan ikincil yük, kayıt defterini aşağıdaki değiştirerek devam eder. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnceşifreli HTTP tünelleri aracılığıyla parmak izi ana bilgisayar konfigürasyonlarını ve verileri püskürtmek için keşif modüllerini çağırıyor.
Sürekli etki alanı oluşturma algoritması (DGA) güncellemeleri, her bir enfekte her ana bilgisayar benzersiz komut ve kontrol uç noktalarını çözdüğü için algılamayı daha da karmaşıklaştırır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.