Son haftalarda, güvenlik araştırmacıları, Coldriver Advanced Kalıcı Tehdit (APT) grubuna atfedilen hedefli saldırılarda bir artış gözlemlediler.
Bu düşman, meşru pencerelerle harmanlanırken sofistike komut ve kontrol teknikleri sergileyen yeni bir PowerShell tabanlı arka kapı tanıttı.
İlk manzaralar, Güneydoğu Asya’daki hükümet kar amacı gütmeyen kuruluşlara karşı saldırı girişimlerinin başlamaya başladığı ve silahlandırılmış ofis belgeleri taşıyan mızrak akma e-postalarından yararlanmaya başladığı Temmuz 2025’in sonlarına kadar uzanıyor.
Bu belgeler, açıldığında, BaitSwitch için dayanağı kuran PowerShell komut dosyalarını sessizce çağırdı. İlk göstergeler, grubun sosyal mühendislik yemlerini iç notları taklit etmek için rafine ettiğini ve yüksek değerli hedefler arasındaki tıklama oranlarını artırdığını göstermektedir.
Bu ilk saldırıları takiben Zscaler araştırmacıları, BaitSwitch’in tüm yükünü kodlanmış PowerShell komutlarına yerleştirerek tipik komut dosyası tabanlı yükleyicilerden ayrıldığını belirtti.
Yükleyici, doğrudan kamu depolarından ikili dosyaları indirmek yerine, şifreli bir modülü doğrudan bellekte açar. Bu yaklaşım, geleneksel antivirüs araçlarını engelleyerek disk üzerindeki adli artefaktları en aza indirir.
Ortaya çıktıktan sonraki bir hafta içinde, Zscaler analistleri, BaitSwitch operatörleri tarafından yanal hareket girişimlerini belirledi ve yerleşik Windows yardımcı programlarının kullanımını gösterdi. Invoke-Command Ve Get-Service ağ boyunca numaralandırmak ve döndürmek.
Eylül 2025’e kadar, olay müdahale ekipleri, tescilli belgelerin ve sistem anlık görüntülerinin ortaya çıkmasıyla çeşitli kuruluşlarda uzlaşmış Active Directory hesapları bildirdi.
.webp)
BaitSwitch’in etkisi veri hırsızlığının ötesine uzanır; gizli iletişim kanalları, aktörün yıkıcı yükleri uygulamadan önce haftalarca uykuda kalmasına izin verdi.
Eksik PowerShell Logging veya Network Egress İzlemesi olmayan kuruluşların, tespit edilmemiş kalıcılığa karşı özellikle savunmasız olduğu kanıtlanmıştır.
Enfeksiyon mekanizması
Baitswitch enfeksiyon zinciri çok aşamalı bir güç dağıtım dizisine bağlıdır. İlk olarak, kurbanlar kullanıcı etkileşimi üzerine aşağıdaki snippet’i yürüten makrolarla bir cazibe belgesi alır:-
$EncPayload = "JHtQcml2YXRlS2V5fQ=="
$Decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($EncPayload))
Invoke-Expression $Decoded.webp)
Bu kod, bir sonraki aşama yükleyiciyi içeren Base64 kodlu bir dizeyi çözer. Yükleyici daha sonra, nihai arka kapı modülünü ortaya çıkarmak için komut dosyası içinde sert kodlanmış bir anahtar kullanarak bir AES şifre çözme rutini gerçekleştirir:
Function Decrypt-Module($cipherText,$key){
$AES = [System.Security.Cryptography.Aes]::Create()
$AES.Key = [Convert]::FromBase64String($key)
$AES.Mode="CBC"
$AES.IV = $AES.Key[0..15]
$decryptor = $AES.CreateDecryptor()
return [System.Text.Encoding]::UTF8.GetString($decryptor.TransformFinalBlock([Convert]::FromBase64String($cipherText),0,$cipherText.Length))
}Şifre çözme üzerine, BaitSwitch kendisini “Windowsupdatesvc” adlı planlanmış bir görev olarak kaydeder ve komutlarını enjekte eder. svchost.exe Tespitten kaçınma işlemi.
Arka kapı, C2 sunucusu ile HTTPS üzerinden iletişim kurar ve trafiği rutin Windows güncelleme istekleri olarak maskelendirir. Bu enfeksiyon mekanizması, Coldriver’ın yalnızca komut dosyası yükleri ve operasyonel güvenliğe verdiği vurgunun altını çizerek hem tespit hem de iyileştirme çabalarını karmaşıklaştırıyor.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
