Özellikle Vietnam’daki BT profesyonellerini ve işe alım ekiplerini hedef alan “Hanoi Hırsızı Operasyonu” adlı karmaşık bir siber casusluk kampanyası ortaya çıktı.
3 Kasım 2025’te keşfedilen bu tehdit faaliyeti, hassas tarayıcı kimlik bilgilerini ve geçmişini toplamak için tasarlanmış karmaşık, çok aşamalı bir enfeksiyon zinciri kullanıyor.
Saldırganlar, kötü niyetli bir hedef odaklı kimlik avı stratejisinden yararlanarak adlı bir ZIP arşivi dağıtıyor. Le-Xuan-Son_CV.zipHanoi merkezli bir yazılım geliştiricisinin meşru bir iş başvurusu gibi görünen .
Enfeksiyon, kurban bir kısayol dosyasıyla etkileşime girdiğinde başlıyor. CV.pdf.lnkarşivde yer almaktadır. Bu dosya, “Toprağın Dışında Yaşamak” (LOLBin) taktiklerini kullanan bir dizi olayı tetikler.
Özellikle Windows’u kötüye kullanıyor ftp.exe ile yardımcı program -s adlı sözde çok dilli bir dosya içinde gizlenmiş bir toplu komut dosyasını yürütmek için bayrak offsec-certified-professional.png.
Bu dosya, zararsız bir görüntü tuzağı ve kötü amaçlı bir taşıyıcı olarak ikili işlev görür ve yükünü yasal görüntü başlıkları içine gömerek geleneksel tespit mekanizmalarından etkili bir şekilde kaçar.
.webp)
Bu komut satırı argümanı, saldırının gizli doğasının kritik bir göstergesidir.
Seqrite güvenlik analistleri, taktiklerdeki önceki devlet destekli faaliyetlerle örtüşmeleri öne sürerek bu kampanyanın muhtemelen Çin kökenli olduğunu belirledi.
Birincil hedefin, teknoloji ve İK sektörlerindeki kurbanların oturum açma verilerinin çalınmasına ve göz atma alışkanlıklarına odaklanan istihbarat toplamak olduğu görülüyor.
Tehdit aktörleri, işe alım süreçlerinin doğasında var olan güveni kullanarak, başlangıçtaki çevre güvenlik katmanlarını başarılı bir şekilde atlıyor.
LOTUSHARVEST Yükünün Teknik Analizi
Bu saldırının özü, LOTUSHARVEST implante edin. İlk komut dosyası çalıştırıldıktan sonra kötüye kullanılır DeviceCredentialDeployment.exe komut satırı faaliyetlerini gizlemek ve aşağıdaki gibi sistem yardımcı programlarını yeniden adlandırmak için certutil.exe ile lala.exe izlemeyi atlamak için.
Bulaşma zincirinde, komut dosyası daha sonra polyglot dosyasından base64 kodlu bir blobu çıkarır ve bunun kodunu, adlı kötü amaçlı bir DLL dosyasına dönüştürür. MsCtfMonitor.dll.
.webp)
Bu DLL meşru bir dosya kullanılarak yandan yüklenmiştir. ctfmon.exe ikili dosyaya kopyalandı C:\ProgramData dizin.
LOTUSHARVEST gibi anti-analiz kontrollerini kullanan güçlü bir bilgi hırsızı olarak işlev görür. IsDebuggerPresent Ve IsProcessorFeaturePresent analiz edilirse çökebilir.
Google Chrome ve Microsoft Edge’i hedef alıyor, ziyaret edilen ilk 20 URL’yi çıkarmak için SQLite veritabanlarını sorguluyor ve kayıtlı beş kimlik bilgilerinin şifresini çözüyor. CryptUnprotectData.
Son olarak, çalınan veriler JSON olarak formatlanır ve HTTPS POST isteği aracılığıyla saldırganın kontrol ettiği sunucuya aktarılır. eol4hkm8mfoeevs.m.pipedream.net/service.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
