Yeni ortaya çıkarılan siber-durum kampanyası olan Hollowquill Operasyonu olarak adlandırılan, silahlı PDF belgeleri kullanarak Rusya’daki akademik, hükümet ve savunma ile ilgili ağları hedeflemek olarak tanımlandı.
Seqrite Labs Apt-Team tarafından izlenen operasyon, Rusya’nın askeri-endüstriyel kompleksini destekleyen savunma ve havacılık araştırmaları için kilit bir kurum olan Baltık Eyalet Teknik Üniversitesi (BSTU “Voenmakh”) ile ilişkili sistemlere sızmak için araştırma davetlerinden yararlanır.
Kötü amaçlı yazılım enfeksiyon zinciri: Decoy PDF’lerinden Kobalt grev yüklerine kadar
Enfeksiyon zinciri, resmi bir araştırma belgesi olarak gizlenmiş bir .NET kötü amaçlı yazılım damlası içeren kötü niyetli bir RAR arşivi ile başlar.
Bu damlalık, meşru bir OneDrive uygulaması, Golang tabanlı bir kabuk kodu yükleyici ve bir tuzak PDF dosyası dahil olmak üzere birden fazla yükü dağıtır.
Son yük, genellikle kötü niyetli aktiviteler için yeniden tasarlanmış iyi bilinen bir penetrasyon test aracı olan bir kobalt grev işaretidir.
Decoy PDF, Rusya Bilim ve Yükseköğretim Bakanlığı’ndan resmi bir iletişim gibi görünüyor.
2026-2028 bütçe döngüsü kapsamındaki devlet tarafından atanan araştırma projeleri için yönergeleri özetlemekte ve bilimsel araştırma ve teknolojik projeler için birleşik devlet bilgi sistemi aracılığıyla teklif sunmak için ayrıntılı talimatlar sunmaktadır (егисetim ниоктр).
Belge, BSTU “Voenmakh” rektörü AE Shashurin tarafından imzalandı ve cazibeye özgünlük katarak.
Teknik analiz: Çok aşamalı kötü amaçlı yazılım dağıtım
Kötü amaçlı yazılım dağıtımı dört farklı aşamayı içerir:
- Kötü niyetli rar dosyası: Arşiv, ilk damlalık görevi gören “Giden No. 3548” adlı bir .NET yürütülebilir dosyası içerir.
- Kötü niyetli .NET damlalık: Bu yürütülebilir ürün, kalıcılığı sağlamak için Windows başlangıç klasörüne bir kısayol dosyası (.lnk) dağıtırken, tuzak PDF ve meşru onedrive uygulamasını belirli dizinlere kopyalar. Ayrıca, asenkron prosedür çağrısı (APC) gibi gelişmiş teknikler kullanarak kabuk kodunu onedrive sürece enjekte eder.
- Golang Shellcode Loader: Yükleyici, sert kodlanmış bir anahtar kullanarak gömülü kabuk kodunu şifresini çözer ve askıya alınmış onedrive işleminin belleğine enjekte eder. Bu adım, zamana dayalı kaçırma gibi anti-analiz önlemlerini içerir.
- Shellcode Yürütme: Shellcode, PHPSyMfony’de barındırılan bir komut ve kontrol (C2) sunucusuna bağlanan bellekte bir kobalt grev işaretini yükler[.]com.
.webp)
Kampanyanın analizi, Golang enjektör ikili içinde Go-Build ID’leri bırakmak gibi tehdit oyuncusu tarafından operasyonel güvenlik (OPSEC) hatalarını ortaya çıkardı.
Bu, araştırmacıların aynı aktöre bağlı benzer yükleri tanımlamasını sağladı.
C2 sunucusu, Amerika Birleşik Devletleri’ndeki Cloudflare Net ve Hong Kong’daki UCloud-HK-AS dahil olmak üzere küresel olarak birden fazla ASN hizmetinde dönüyor.
Ayrıca, “Yakında geliyor – pariaturzzphy.Makebelivercorp gibi HTTP başlıkları[.]com ”, Asyncrat gibi kötü niyetli ikili işler sunan konakçılar arasında defalarca gözlendi.
Hollowquill Operasyonu, kritik araştırma kurumlarını hedefleyen siber-karşıt kampanyalarının artan karmaşıklığını vurgulamaktadır.
Tehdit aktörleri, otantik görünümlü belgelerden ve gelişmiş kötü amaçlı yazılım tekniklerinden yararlanarak, savunma ve havacılık teknolojileri ile ilgili hassas bilgileri tehlikeye atmayı amaçlamaktadır.
Seqrite Labs, Truva atı gibi belirlenmiş tehditlere karşı güçlü uç nokta koruma önlemleri önerir. Ghanarava varyantları ve kötü niyetli ekleri içeren kimlik avı girişimlerine karşı uyanıklık.
Uzlaşma Göstergeleri (IOCS):
- MD5 Hashes:
- AB310DDF9267ED5D613BCC0E52C71A08 (kötü amaçlı RAR dosyası)
- fad1ddfb40a8786c1dd2b50dc9615275 (systemupdaters.exe)
- CAC4DB5C6ECFFFE984D5D1DF1BC73FDB (onedrives_v2_1.exe)
- C2 Etki Alanı:
- fpsymfony[.]com
MITER ATT & CK teknikleri:
- İlk Erişim: T1566.001 (Mızrak Kimlik Avı Eki)
- Kalıcılık: T1547.001 (başlangıç klasörü)
- Savunma Kaçınma: T1055.004 (Asenkron Prosedür Çağrısı)
Bu kampanya, dünya çapında kritik sektörleri hedefleyen siber tehditlerin açık bir hatırlatıcısı olarak hizmet vermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!