Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç, yönetişim ve risk yönetimi
Kontrol Noktası: ‘Stealth Falcon’ sömürülen Webdav Kusur
Akhabokan Akan (Athokan_akhsha) •
11 Haziran 2025
Microsoft, Orta Doğu ve Afrika’daki bir casusluk kampanyasının bir parçası olarak bir Emirati tehdit grubu tarafından kullanılan web uygulama çerçevesinde sıfır gün güvenlik açığı yamaladı.
Ayrıca bakınız: Panel | Siber saldırılar artıyor – ve siber sigorta oranları hızla yükseliyor
CVE-2025-33053 olarak izlenen kusur, Web Dağıtılmış Yazarlık ve Sürüm veya WebDAV’da bir uzaktan kod yürütme güvenlik açığıdır. Özellik, kullanıcıların uzak web sunucularındaki dosyaları yönetmelerini sağlayan bir hipermetin aktarım protokolü uzantısıdır.
Şirket, aylık güvenlik açığı düzeltmelerinin bir parçası olarak Salı günü kusurunu düzenledi. Siber güvenlik firması Check Point, Siber Tesisat ile tanınan bir ulus devlet grubu olan Stealth Falcon tarafından bir hack kampanyasını ortaya çıkardı ve Keyloggers, Pasif Backdoors ve kimlik bilgisi tamponu da dahil olmak üzere kötü amaçlı yazılım dağıtmak için sıfır gününü kullandı. Grup, Türkiye, Katar, Mısır ve Yemen’deki hedeflere kötü amaçlı yazılım kullandığını söyledi.
Fuuityarmor ve G0038 olarak da bilinen Stealth Falcon, Birleşik Arap Emirlikleri hükümetine bağlantılardan şüpheleniyor. Daha önce Emirati gazetecilerini, aktivistleri ve muhalifleri hedefleyen hack’lerle ilişkilendirilmişti.
Stealth Falcon’un son kampanyası kimlik avı e -postalarıyla başladı. Check Point tarafından gözlemlenen bir olayda, bilgisayar korsanları, Mythic C2 komut ve kontrol çerçevesi ile çalışmak üzere tasarlanmış özel yapım bir implant olan Horus Agent’ın en son sürümünü kullanarak bir Türk savunma organizasyonunu hedef aldı.
Check Point, bir kurban PHISHING E -posta ekini Mart ayında Virustotal’a yükledikten sonra kampanyayı ortaya çıkardı. Dosyayı çalıştırırken, kontrol noktası kötü amaçlı dosyanın teşhis verilerini toplamaya başladığını ve enfekte cihazların webdav yolunu saldırgan kontrollü bir sunucuya yönlendirdiğini buldu.
Bağlantı kurulduktan sonra, route.exe Horus yükleyicisini dağıtan saldırganın WebDAV sunucusundan yürütüldü. Yürütme üzerine, algılamadan kaçınmak için önceki yardımcı programları temizledi ve daha sonra bir tuzak belgesini ve son Horus aracısı yükünü dağıttı.
Check Point, “Horus Agent, özel bir OLLVM gibi görünen şeyleri kullanıyor ve hem dize şifreleme hem de kontrol akışı düzleşmesinden yararlanıyor.” Dedi. Kötü amaçlı yazılımın, daha önce 2022 ve 2023 yılları arasında grup tarafından kullanılan .NET tabanlı bir efsanevi ajan olan Apollo’nun özelleştirilmiş bir versiyonu olduğunu eklediler.
“Horus varyantı, Apollo implantlarının eksik olduğu efsanede yerleşik yükleme komutunu içerir. Horus varyantı, shinjectchunced ve shinjectStealth’i bir parametre olarak kullanarak ShinjectChunced ve ShinjectStealth’i birleştirir.” Kontrol noktası. En son Horus varyantı yetenekler açısından daha gelişmiş.
Raporda, Horus Agent’a ek olarak, saldırganlar Active Directory kimlik bilgilerini çıkarmak için bir kimlik bilgisi tamponu ve gelen ağ isteklerini izlemek için pasif bir arka kapı da dahil olmak üzere başka araçlar kullandı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bilinen sömürülen güvenlik açıkları kataloğuna kusuru ekledi.