Rusya bağlantılı tehdit aktörleri Eylül 2025’te sivil toplumu sofistike sosyal mühendislik kampanyaları ve hafif kötü amaçlı yazılım araçlarıyla hedeflemeye devam ediyor.
Kampanya, daha önce belgelenmemiş iki kötü amaçlı yazılım ailesi sunuyor: BaitSwitch olarak adlandırılan bir indirici ve SimpleFix adlı PowerShell tabanlı bir arka kapı.
Star Blizzard, Callisto ve UNC4057 olarak da izlenen Coldriver, tarihsel olarak STK’lara, düşünce kuruluşlarına, gazetecilere ve hem Batı ülkelerinde hem de Rusya’daki insan hakları savunucularına karşı kimlik avı kampanyalarına odaklandı.
Zscaler tehdidinin son araştırmalarına göre, Rusya bağlantılı İleri Kalıcı Tehdit (APT) Grubu Coldriver, Rus sivil toplum üyelerini hedeflemek için tasarlanmış yeni bir çok aşamalı ClickFix kampanyasıyla saldırı Arsenal’i genişletti.
Grubun son kampanyası, taktiklerinde önemli bir evrimi temsil ediyor ve ilk olarak 2025’in başlarında benimsedikleri ClickFix sosyal mühendislik tekniğini dahil ediyor.
Saldırı, kurbanlar, Rus sivil toplum üyeleri için zorluklarla karşılaşan bir bilgi kaynağı olarak maskelenen bir web sayfasını ziyaret ettiğinde başlar.
Site, kullanıcıları kötü amaçlı komutlar yürütmeye kandırmak için tasarlanmış sahte bir Cloudflare Turnstile onay kutusu görüntüler. Tıklandığında, gömülü JavaScript, kurbanın panosuna kötü amaçlı bir Rundll32.exe komutunu kopyalar ve Windows Run iletişim kutusuna yapıştırmalarını ve yürütmelerini söyler.
Bu bölümde, bir kurban bir ClickFix web sayfasını ziyaret ettiğinde ve Site tarafından istenen eylemleri gerçekleştirdiğinde başlatılan saldırı zincirinin her bir bileşeni için ayrıntılı bir analiz sağlanır.
Kayıpkeyler sahte captcha ve aşamalı müşteri-sunucu iletişimini kullanarak kötü amaçlı yazılım yükü dağıtım zinciri.
İki sayfalık belge, mentorluk ve burs programları aracılığıyla sürgün edilen Rus sivil toplum üyeleri için dayanıklılığı tartışıyor ve arka planda meydana gelen kötü niyetli faaliyetler için mükemmel bir kapak sağlıyor.
Çok aşamalı enfeksiyon zinciri
BaitSwitch Downloader (Machinerie.dll), kalıcılık oluşturan ve ek yükleri alan sofistike bir kötü amaçlı yazılım parçasını temsil eder.
Kötü amaçlı yazılım, sert kodlu bir kullanıcı ajanı dizesi kullanarak komut ve kontrol altyapısına bağlanır ve sunucular güvenlik araştırmacıları tarafından algılanmayı önlemek için yalnızca bu özel tanımlayıcıya yanıt verir.
BaitSwitch dikkatle düzenlenmiş beş aşamalı bir işlem yürütür. İlk olarak, bir sonraki kullanıcı oturumunda bir PowerShell komut dosyasını yürütmek için userInitMPRLogonscript kayıt defteri tuşunu değiştirerek kalıcılık oluşturur.
İkincisi, Windows Kayıt Defteri Anahtarları Chartmod ve Qatitems’te şifrelenmiş yükleri depolar. Üçüncüsü, SouthProvesolutions.com’dan bir PowerShell Stager’ı indirir ve kurbanın AppData dizinine kaydeder.
Kötü amaçlı yazılım daha sonra RunmRU kayıt defteri anahtarını temizleyerek, ilk ClickFix komut yürütmesinin izlerini etkili bir şekilde silerek forsensik karşıtı etkinlikler gerçekleştirir. Son olarak, kurbanın ana bilgisayar adını komut ve kontrol sunucusuna gönderir ve muhtemelen tehlikeye atılan sistemi gelecekteki işlemler için kaydeder.
SimpleFix Backdoor, Coldriver’ın tamamen bellekte çalışan hafif, fitilsiz kötü amaçlı yazılım tercihini gösterir.
PowerShell tabanlı araç, dize gizleme teknikleri kullanır ve kayıt defteri manipülasyonu yoluyla kalıcılık oluşturur ve tespiti geleneksel güvenlik araçları için zorlaştırır.
Etkin olduktan sonra SimpleFix, tüm komut ve kontrol iletişimleri için bilgisayar adını, kullanıcı adı ve makine uuid’i birleştiren benzersiz kullanıcı ajanı dizeleri üreterek üç dakikalık bir oylama döngüsünde çalışır.
Arka kapı üç birincil komut türünü destekler: özelleştirilebilir komut satırı parametreleri ile ikili dağıtım, sistem keşif komutu yürütme ve çıktı eksfiltrasyonu ile PowerShell komut dosyası yürütme.
Analiz sırasında araştırmacılar, “Whoami /All”, “Ipconfig /ALL”, “SystemInfo” ve ağ numaralandırma araçları gibi kapsamlı keşif komutları yürüttüğünü gözlemlediler.
En önemlisi, belgeler, indirmeler, masaüstü ve onedrive klasörleri de dahil olmak üzere hedeflenen dizinlerden belirli dosya türleri (.pdf, .doc, .xls, .txt, .zip, .rar, .7z) hakkında bilgi vermek için tasarlanmış bir PowerShell komut dosyasıydı.
Rus siber operasyonları
Zscaler Tehditlabz, bu kampanyayı çoklu örtüşen taktiklere, tekniklere ve prosedürlere dayanan ılımlı bir güvenle Coldriver’a bağlar.
ClickFix HTML sayfası, Coldriver’ın Ocak 2025 kampanya materyallerine benzerlikler içerirken, bölünmüş şifre çözme anahtar metodolojisi LostKeys VBScript kötü amaçlı yazılımlarında kullanılan teknikleri yansıtır.
Keşif yetenekleri, önceki Coldriver operasyonlarına, özellikle de stratejik zeka değeri sağlayabilecek belge dosyalarının sistematik olarak numaralandırılmasına yakından eşleşir.
En önemlisi, kampanyanın mağduru, Rus sivil toplum üyelerine, insan hakları savunucularına ve demokrasi yanlısı hareketlere bağlı bireylere odaklanarak Coldriver’ın yerleşik hedefleme kalıplarıyla mükemmel bir şekilde uyuyor.
Tehdit grubunun sürekli evrimi, sivil toplum örgütleri ve muhaliflerin karşı karşıya olduğu sürekli tehlikeyi göstermektedir.
Coldriver’ın hafif PowerShell tabanlı kötü amaçlı yazılımlarla birleştiğinde ClickFix tekniklerini benimsemesi, operasyonel güvenliği korurken birçok geleneksel güvenlik kontrolünü atlayan etkili bir yaklaşımı temsil eder.
Hafifletme
Güvenlik uzmanları, bu saldırılara karşı savunmak için temel siber güvenlik uygulamalarının uygulanmasını önermektedir.
Kuruluşlar en az ayrıcalıklı erişim kontrollerini uygulamalı ve yetkisiz komut dosyalarını ve ikili dosyaları engellemek için Windows Applocker veya App Control gibi uygulama kontrol teknolojilerini dağıtmalıdır.
Tarayıcı izolasyon teknolojileri, pano etkileşimlerini azaltmaya ve güvenilmeyen web sitelerindeki kullanıcı eylemlerinin uzlaşmasını önlemeye yardımcı olabilir.
Ayrıca, güvenlik bilinci eğitimi, özellikle Captcha doğrulaması veya teknik sorun giderme adımları gerektirdiğini iddia eden web sayfaları tarafından istendiğinde, pano içeriğinden komutların yürütülme risklerini vurgulamalıdır.
Coldriver kampanyası, sofistike ulus devlet aktörlerinin savunmasız toplulukları gelişen taktiklerle hedeflemeye devam ettiğini vurguluyor.
Kullanılan teknikler ne yeni ne de teknik olarak gelişmiş olsa da, hedeflenen nüfuslara karşı etkinlikleri, yüksek riskli ortamlarda faaliyet gösteren sivil toplum kuruluşları için devam etmektedir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer | Tanım |
|---|---|---|
| İhtisas | Prensest Production[.]org | ClickFix Etki Alanı. |
| İhtisas | BLINTEPEESTE[.]org | ClickFix Etki Alanı. |
| İhtisas | captchanom[.]tepe | BaitSwitch DLL ve ara komutları barındıran alan adı. |
| İhtisas | Southprovesolutions[.]com | C2 Sunucusu. |
| Url | Hxxps: // pepentootmis[.]org/? uinfo_message = resilient_voices | ClickFix Web sayfası bir Rus düşünce kuruluşu olarak poz veriyor. |
| Url | Hxxps: // blintepeeste[.]org/? u_storages = resilient_voices_concept | ClickFix Web sayfası bir Rus düşünce kuruluşu olarak poz veriyor. |
| Url | hxxps: // captchanom[.]üst/check/macherie.dll | Baitswitch DLL barındıran URL. |
| Url | hxxps: // captchanom[.]Üst/darbe/Premier | PowerShell komut dosyasının ilk aşamasını başlatmak için bir Windows kayıt defteri tuşu eklemek için bir komutla yanıt verir. |
| Url | hxxps: // captchanom[.]Üst/İkinci/İkinci | AES şifreli komut dosyasını Windows Registry’ye eklemek için bir PowerShell komutuyla yanıt verir. |
| Url | hxxps: // captchanom[.]Üst/Üçüncü/Üçüncü | PowerShell betiğinin ilk aşamasını indirmek için bir PowerShell komutuyla yanıt verir. |
| Url | hxxps: // captchanom[.]Üst/Fout/Dört | Windows Kayıt Defteri Anahtarını silmek için bir komutla yanıt verir. |
| Url | hxxps: // SouthProvesolutions[.]com/fvflcsr23 | PowerShell betiğinin ilk aşamasıyla yanıt verir. |
| Url | hxxps: // SouthProvesolutions[.]com/zxdf | PowerShell betiğinin ikinci aşaması ile yanıt verir. |
| Url | hxxps: // SouthProvesolutions[.]com/kzouorc | C2 URL’si komutları almak için. |
| Url | hxxps: // SouthProvesolutions[.]com/epwl | C2 URL’si Veri Defiltrasyonu için kullanılır. |
| Url | hxxps: // SouthProvesolutions[.]com/vukxugsygu | URL, uç noktada başarılı komut yürütmeyi onaylamak için kullanılır. |
| Url | hxxps: //drive.google.com/file/d/1uiidbt33n7unppa4ums4ny2oojcm-96t/view | Google Drive URL’si sosyal mühendislik yemine ev sahipliği yapıyordu. |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.