Tahran merkezli güvenlik yüklenicisi Amnban’ın ihlali, sessizce Afrika, Avrupa ve Orta Doğu’daki havayolu rezervasyon sistemlerine giren çok yıllı bir casusluk programından kapağı yırttı.
Araştırmacı gazeteci Nariman Gharib tarafından elde edilen iç belgeler ve ekran yakalanmış videolar, İran’ın İstihbarat Bağlantısı Bakanlığı APT39 tarafından yönlendirilen Kraliyet Ürdün, Türk Havayolları, Wizz Air, Qatar Airways ve daha fazlasının metodik keşiflerini ortaya koyuyor.
İlk olarak 2023’ün sonlarında, ancak çok daha önce aktif olarak izlenen, olay müdahalecileri tarafından “Trailblazer” adlı kötü amaçlı yazılım araç seti, havayolu yardım-desk iş istasyonlarında bir dayanak kazanmak için meşru uçuş-manifest talepleri olarak gizlenmiş mızrak aktı lurs’ı kaldırır.
İçeri girdikten sonra, Trailblazer, şifrelenmiş yükünü doğrudan belleğe bırakan, diskte eserleri silerek ve ortak uç nokta ajanlarından kaçan hafif bir C# yükleyici dağıtır.
Komut ve kontrol trafiği, Microsoft Graph’a gönderilen TLS şifreli telemetri olarak maskelenerek, giden işaretlerin rutin ofis 365 trafiği ile karışmasına izin verir.
Nariman Gharib analistleri, aynı implantın FedEx ve DHL gibi yük taşıyıcıları aracılığıyla döndürüldüğünü ve düşmanın küresel kargo hareketlerini haritalayabilen lojistik verilerine olan iştahının altını çizdiğini belirtti.
Operasyonel kapsam çarpıcı: yolcu adı kayıtları, API kimlik bilgileri, pasaport taramaları ve havaalanı VPN yapılandırmaları gerçek zamanlı olarak Sifonlar API-azurecloud gibi iyi huylu alanlar altında kayıtlı VPS rölelerine[.]com.
Katar ve Rusya’daki havayolları istihbarat için dokunmuş gibi görünürken, Ürdün veya Polonya’daki taşıyıcılar karşı güvence gözetimi hedeflendi.
Bir Avrupa sertifikası tarafından paylaşılan telemetriye göre, tek bir Trailblazer düğümü, Mart 2025’te 48 saatlik bir patlama sırasında 12.6 GB manifest verisini ortaya çıkardı ve hem kötü amaçlı yazılımların bant genişliği verimliliğini hem de kurbanların sınırlı algılama kapsamını vurguladı.
Endüstri etkisi hızla izledi. Birkaç bölgesel havaalanları, Trailblazer Beacon ani artışlarıyla çakışan zorlanmamış check-in kesintileri bildirdi ve bir Körfez taşıyıcısı, saldırganların katır seyahati için çalınan milleri yeniden kullandıktan sonra sık flyer programını dondurmak zorunda kaldı.
.webp)
Uluslararası düzenleyiciler artık yol atamaları ölçekte değiştirilirse, yolcu tezahürlerinin uzun süreli manipülasyonunun fiziksel izlemeyi veya hatta kinetik sabotajı mümkün kılabileceğinden korkuyorlar.
Bellek içi yama yoluyla tespit kaçınma
Trailblazer’ın en sinsi yeteneği, antivirüs sürücülerine döndürülen tarama sonuçlarını tahrif etmek için Windows API’sini çalışma zamanında kancalayan bir rutin olan bellek içi yama motorudur.
.webp)
İmplant, yüklü modülleri numaralandırır, her motorun imza tanımının ilk 16 bayt sırasını bulur ve tarama geçene kadar rastgele baytlarla değiştirir.
Değişiklik yalnızca değişken bellekte yaşadığından, ana bilgisayarın yeniden başlatılması orijinal kodu geri yükler ve kurcalama izini siler. Yükleyiciden sökülmüş bir alıntı işlemi gösterir:-
byte[] sig = new byte[16];
IntPtr target = GetProcAddress(GetModuleHandle("amsi.dll"), "AmsiScanBuffer");
Marshal.Copy(target, sig, 0, 16); // save original
for(int i=0;i<16;i++){ sig[i]=(byte)rand.Next(1,255);} // scramble
uint old;
VirtualProtect(target, 16, 0x40, out old);
Marshal.Copy(sig, 0, target, 16); // patch AMSI
VirtualProtect(target, 16, old, out old);AMSI'nin giriş noktası herhangi bir komut dosyası yürütülmeden önce değiştirildiğinden, PowerShell transkriptleri normal görünürken kötü amaçlı komutlar engellenmez.
Bunun gibi sadece bellekli değişiklikler dosya tabanlı tarayıcıları önler ve minimal adli kalıntı bırakır, bu da birkaç tehlikeye atılan havayolunun neden veri sızdırıldığında bile “temiz” antivirüsün süpürüldüğünü açıklar.
Güvenlik ekiplerine, imza motorlarını, pistten trailblazer taksilerden önce yetkisiz yama olaylarını tespit edebilen çekirdek düzeyinde bütünlük izleme ile desteklemeleri isteniyor.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.