Zscaler ThreatLabz araştırmacılarına göre, Kolombiya devlet kurumları, hedef sistemlere uzaktan erişim truva atlarını dağıtmak için ele geçirilen dahili e-posta hesaplarından, PowerShell komut dosyalarından ve steganografiden yararlanan BlindEagle tehdit grubu tarafından düzenlenen çok aşamalı, karmaşık bir siber saldırı kampanyasıyla karşı karşıya.
Siber güvenlik firması, hedef odaklı kimlik avı operasyonunu Eylül 2025’in başlarında keşfetti ve BlindEagle’ın aynı kuruluş içindeki ele geçirilmiş bir hesaptan gönderilen bir e-postayı kullanarak Kolombiya Ticaret, Sanayi ve Turizm Bakanlığı (MCIT) bünyesindeki kurumları hedef aldığını ortaya çıkardı.
Bu içeriden içeriye yaklaşım, saldırganların kurumsal güveni istismar ederken DMARC, DKIM ve SPF kontrolleri dahil geleneksel e-posta güvenlik kontrollerini atlamasına olanak sağladı.
ThreatLabz analizi, kimlik avı e-postasının kuruluşun SPF ilkesi tarafından yetkilendirilen meşru bir Microsoft 365 sunucusundan geldiğini ve tüm ileti yolu başlıklarının orijinal göründüğünü gösterir.
Saldırı, BlindEagle’ın tek kötü amaçlı yazılım kampanyalarını dağıtmaktan, Caminho indiricisini ve DCRAT uzaktan erişim truva atını içeren karmaşık, çok katmanlı saldırı zincirlerini düzenlemeye kadar geçirdiği evrimi gösteriyor.
Saldırı Metodolojisi
Kampanya, Kolombiya’nın yargı sistemini taklit eden, uydurma vaka numaraları ve acil alındı onayı talepleriyle tamamlanan, yasal temalı bir kimlik avı e-postasıyla başladı.
Mesaj, tıklandığında resmi bir Kolombiya adli web portalını taklit eden Base64 kodlu bir HTML sayfasının kodunu çözen bir SVG resim eki içeriyordu.
Dolandırıcılık portalıyla etkileşime giren kurbanlar, dosyasız bir saldırı dizisini başlatan bir JavaScript dosyasını otomatik olarak indirdiler.
Kötü amaçlı yazılım, tamsayı dizi gizleme tekniklerini kullanarak üç JavaScript kod parçacığını çalıştırdı ve her aşamada sonraki yükleri yeniden oluşturup başlattı.
Üçüncü JavaScript aşaması, Windows Yönetim Araçları aracılığıyla bir PowerShell komutunu çalıştırmadan önce tespitten kaçınmak için Unicode tabanlı yorumları ve karmaşık dize manipülasyonunu tanıttı.
PowerShell betiği, İnternet Arşivinden “BaseStart-” ve “-BaseEnd” etiketli belirli işaretleyiciler arasında gizlenmiş Base64 kodlu bir veri içeren bir görüntü dosyası indirdi.
Özellikle, Windows Yönetim Araçları’ndan (WMI) yararlanarak bir Win32_Process misal.
Kötü amaçlı kodu gizlemek için steganografiyi kullanan komut dosyası, gömülü derlemeyi oluşturdu, kodunu çözdü ve yansıma tekniklerini kullanarak dinamik olarak bir .NET modülü olarak yükledi.
Kötü Amaçlı Yazılım Altyapısı
ThreatLabz, yüklenen derlemenin, ilk olarak Mayıs 2025’te Brezilya siber suç pazarlarında ortaya çıkan bir indirici kötü amaçlı yazılım olan Caminho olduğunu belirledi.
Betik indirildikten sonra, iki belirli işaretleyici arasına gömülü Base64 kodlu bir yük oluşturur: BaseStart- Ve -BaseEnd.
Kanıtlar, kötü amaçlı yazılımın birincil yönteminin Portekizce “caminho” (yol) ve “extençao” (uzantı) gibi argüman adlarını içermesi nedeniyle Caminho’yu Portekizce konuşan geliştiricilerin oluşturduğunu gösteriyor.
BlindEagle, Caminho’yu Discord içerik dağıtım ağlarından DCRAT yüklerini indirmek için kullanarak erkenden benimsedi.
Son aşamadaki DCRAT kötü amaçlı yazılımı, meşru MSBuild.exe yardımcı programını başlatarak ve kötü amaçlı kodu doğrudan belleğe enjekte ederek süreç boşaltma tekniklerini kullandı.
Bu AsyncRAT çeşidi, DCRAT’ın orijinal açık kaynak kod tabanında bulunmayan, AES-256 şifreli yapılandırmalara ve sertifika tabanlı komut ve kontrol sunucusu kimlik doğrulama işlevine sahiptir.
ThreatLabz, DCRAT örneğini veren kuruluşla eşleşen sertifikaları dünya çapında açığa çıkaran 24 ana bilgisayar keşfetti; altyapı öncelikle, geçmişte BlindEagle tarafından tercih edilen bir barındırma sağlayıcısı olan ASN 42708 (GleSYS AB) kapsamındaki İsveç IP adreslerinde barındırıldı.
Grup ayrıca, daha önce belgelenen operasyonel modellerle tutarlı olarak ydns.eu’nun Dinamik DNS hizmetlerinden de yararlandı.
Araştırmacılar, kampanyayı altyapı tercihleri, Kolombiya hedeflemesi, yasal temalı tuzaklar, .NET kötü amaçlı yazılımlarının yoğun kullanımı, yük barındırma için Discord dahil meşru hizmet suiistimali ve belgelenmiş steganografi tekniklerine dayalı olarak orta derecede güven ile BlindEagle’a bağladılar.
Saldırı, BlindEagle’ın Kolombiya devlet kurumlarına ısrarla odaklandığını vurguluyor ve grubun operasyonel yeteneklerini geliştirmek için yeraltı pazarlarından gelişmiş araçları benimsediğini gösteriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.