Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Muhtemelen Dünya Baxia ile bağlantılı yeni fidye yazılımı
Akhabokan Akan (Athokan_akhsha) •
14 Ağustos 2025
Daha önce yapışmamış bir fidye yazılımı gerginliği, Orta Doğu’daki kamu sektörünü ve havacılık organizasyonlarını hedefliyor. Tehdit oyuncusu, Çin merkezli daha önce belgelenmiş bir hack grubuna benzer teknikler kullanıyor.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
Şifreli dosyaları bir .Charon uzatma, bir ulus-devlet tehdit oyuncusu anımsatan teknikleri kullanın. Trend Micro’nun analizine göre, Charon Hacker’ların fırsatçı bir şekilde saldırı yerine hedeflerini seçtiğini söylüyor. Yunan mitolojisinde Charon, Underworld’e ölü ruhları feribot eder.
“Belirgin DLL Sideloading Metodolojisi”, Trend Micro tarafından Earth Baxia olarak izlenen Çin merkezli bir tehdit oyuncusu ile potansiyel örtüşmeye işaret ediyor. Sonbahar 2024’teki siber güvenlik firması, Kobalt grev bileşenleri ve öncelikle ajanslara, telekomünikasyon işletmelerine ve Asya Pasifik Bölgesi’ndeki enerji endüstrisine karşı bir arka kapıyı konuşlandıran Earth Baxia’yı tespit etti. Basitleştirilmiş Çince’de yazılmış enfeksiyon zincirinde kullanılan bir tuzak belgesi, Çinli kuruluşların da hedef olabileceğini öne sürdü, ancak Trend Micro bunu doğrulayamayacağını söyledi.
Trend mikro araştırmacılar, örtüşme doğrudan katılımdan taklit veya benzer taktiklerin bağımsız gelişmesine kadar her şeyi temsil edebildiğinden, Charon’u Dünya Baxia’ya “kesin olarak atfetmediler”.
Atıftan bağımsız olarak, fidye yazılımı sunmak için kullanılan tekniklerin işletmeler için bir uyarı olduğunu söyledi. Charon operatörleri, ulus-devlet gruplarının provenansı ve “iyi tanımlanmış ağlardan bile ödün verilebildikten sonra teknikleri kullanıyor.” Bazı araştırmacılar, ulus devlet grupları ile fidye yazılımı operatörleri arasında siber sorumluluk için bir örtü sağlayabilen işbirliği kanıtı bulmuşlardır (bkz: bkz: Casusluk için fidye yazılımı ‘duman perdesi’ kullanan uygun gruplar).
Charon kötü amaçlı yazılım, meşru bir Windows hizmeti ana bilgisayar işlemi olarak maskelenir. Enfeksiyon, bilgisayar korsanlarının, çerezleri içe aktarmak ve dışa aktarmak için meşru bir kenar tarayıcı ikili yürütmesiyle başlar ve adlandırılmış kötü niyetli bir DLL’yi kenar yüklemek için kullanır msedge.dllSwordldr olarak da bilinir. Gömülü bir fidye yazılımı yükü indirir ve yeni ortaya çıkan bir svchost.exe işlem. “Bu teknik, kötü amaçlı yazılımın meşru bir Windows hizmeti olarak maskelenmesini sağlar ve olağan uç nokta güvenlik kontrollerini atlar.”
Şifreleme rutinine girmeden önce Charon Malware, güvenlik ile ilgili hizmetleri durdurur ve aktif süreçleri sona erdirir. Ayrıca gölge kopyalarını ve yedekleme dosyalarını da siler. Hızlı şifrelemeye yardımcı olarak, sistemde bulunan işlemci çekirdeklerinin sayısını kontrol eder ve birden çok dosya şifreleme iş parçacığı oluşturur. Yürütülebilir ve DLL dosyalarını şifrelemekten kaçınır.
Şifreli dosyalar. Charlon ve “HCharon Urworld’e giriliyor!”