Kanlı Kurt olarak bilinen sofistike bir Gelişmiş Kalıcı Tehdit grubu, Orta Asya’da hükümet ve özel sektörleri hedef alan siber casusluk operasyonlarını yoğunlaştırdı.
Grup, Haziran 2025’in sonlarından bu yana, öncelikle Kırgızistan ve Özbekistan’daki kuruluşlara odaklanan hedef odaklı kimlik avı kampanyaları düzenliyor.
Saldırganlar, Adalet Bakanlığı gibi devlet kurumlarını titizlikle taklit ederek mağdurları sistemlerini tehlikeye atma konusunda başarıyla kandırıyor.
Birincil vektör, resmi yazışmaları taklit eden, e-posta yoluyla gönderilen silahlı PDF belgelerini içerir. Bu belgeler genellikle acil hukuki konuları veya dava materyallerini öneren başlıklar taşır ve alıcıları gömülü bağlantılarla etkileşime girmeye zorlar.
Bu bağlantılar bir kez tıklandığında, geleneksel güvenlik savunmalarını aşmak ve kurbanın ağına uzun vadeli erişim sağlamak üzere tasarlanmış çok aşamalı bir enfeksiyon sürecini başlatır.
Group-IB güvenlik analistleri bu artışı tespit ederek, grubun STRRAT gibi ticari kötü amaçlı yazılımlardan meşru ancak silahlandırılmış NetSupport Uzaktan Yönetim Aracını kullanmaya geçiş yaptığını belirtti.
Bu stratejik pivot, saldırganların normal idari trafiğe uyum sağlamasına olanak tanır ve kurumsal güvenlik ekipleri için algılamayı önemli ölçüde zorlaştırır.
Kampanyalar, yük dağıtımını belirli ülkelerdeki hedeflere kısıtlamak için yerel dillerin ve coğrafi sınırlama tekniklerinin kullanılması da dahil olmak üzere yüksek düzeyde bölgesel adaptasyon sergiliyor.
Etkisi derindir ve saldırganlara virüslü uç noktalar üzerinde tam uzaktan kontrol sağlar. Bu erişim, veri sızmasını, sistem envanteri gözetimini ve kritik altyapı ağları içerisinde yanal hareketi kolaylaştırır.
Enfeksiyon Zinciri
Bloody Wolf’un teknik stratejisi, yükü yürütmek için kötü amaçlı Java Arşivi dosyalarına dayanıyor. Yemle etkileşime giren kurbanlardan, kötü niyetli yükleyicinin yürütülmesini maskeleyen bir bahane olarak Java’yı güncellemeleri istenir.
Java 8 ile derlenen JAR dosyaları karmaşık değildir ancak son derece etkilidir. Özbekistan kampanyasında altyapı, yalnızca ülke içinden gelen isteklerin kötü amaçlı JAR’ın indirilmesini tetiklediği, diğerlerinin ise meşru hükümet portallarına yönlendirildiği coğrafi sınırlamayı kullandı.
.webp)
JAR yükleyicisi yürütüldükten sonra yedekli yöntemlerle kalıcılığı sağlar. Kötü amaçlı yazılım, Windows Başlangıç klasörüne bir toplu iş dosyası bırakıyor ve kayıt defteri anahtarlarını değiştirerek, RAT’ın yeniden başlatıldığında başlatılmasını sağlamak için cmd.exe gibi komutları yürütüyor.
.webp)
Ek olarak, yürütmeyi garanti etmek için schtasks’ı kullanarak zamanlanmış bir görev oluşturur. Bu yedeklilik, NetSupport RAT’ın sistemde aktif kalmasını sağlayarak, saldırganların sahte hata mesajları görüntülerken kalıcı bir dayanak noktası oluşturmasına ve kullanıcının dikkatini arka plandaki kötü amaçlı faaliyetlerden uzaklaştırmasına olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
