Windows Defender’dan kaçmak ve son nokta güvenlik sistemlerinden yararlanmak için yenilikçi bir “UAC istemi bombalama” tekniği kullanan NightShadec2 adlı sofistike yeni bir botnet.
Ağustos 2025’te Esentire’nin Tehdit Yanıt Birimi (TRU), kötü amaçlı yazılım kaçakçılığı taktiklerinde önemli bir evrimi temsil eden bu ortaya çıkan tehdidi tanımladı.
BOTNET, ters kabuk erişimi, kimlik bilgisi hırsızlığı, keyloglama ve uzaktan sistem kontrolü gibi gelişmiş yetenekleri gösterir ve bu da dünya çapında kurumsal güvenlik ekipleri için önemli bir endişe kaynağıdır.
NightShadec2’nin en çarpıcı özelliği, kullanıcıları uyuncaya kadar tekrar tekrar kullanıcı hesabı kontrolü onaylamaya zorlayan yeni “UAC adlı bombalama” tekniğidir.
Kötü amaçlı yazılımın .NET tabanlı yükleyici, son yük için Windows Defender istisnaları eklemek için PowerShell komutlarını yürüten sürekli bir döngü uygular.
Kullanıcılar UAC istemini reddederse, istemler süresiz olarak görünmeye devam ettikçe sistem giderek kullanılamaz hale gelir.
Bu yaklaşım, kötü amaçlı yazılım analizi sanal alanlarına karşı özellikle etkili olduğunu kanıtlamaktadır. Engelli Windows Defender hizmetlerine sahip sistemler sıfır olmayan çıkış kodları oluşturur, yürütme döngülerinde otomatik analiz ortamlarını hapseder ve yük dağıtımını önler.
TRU araştırmacıları, Joe Sandbox, Capev2, kuluçka triyajı ve any.run dahil olmak üzere çoklu sanalbox çözeltilerinin başarılı bir şekilde atladığını doğruladı.
Çok değişken mimari
NightShadec2, her biri tanımlanamayan komut ve kontrol çerçeveleriyle iletişim kuran hem C hem de Python tabanlı varyantlar aracılığıyla çalışır.
C varyantı öncelikle 7777, 33336, 33337 ve 443 TCP bağlantı noktalarını kullanırken, Python varyantları ağırlıklı olarak TCP bağlantı noktası 80 üzerinden bağlanır. Bu çeşitlendirilmiş iletişim stratejisi, botnet’in ağ tabanlı algılama sistemlerine karşı esnekliğini arttırır.
C varyant, komut istemi ve PowerShell, DLL ve yürütülebilir indirme/yürütme yoluyla ters kabuk özellikleri dahil kapsamlı işlevsellik sunar, kendi kendine iskeleme mekanizmaları, uzaktan kumanda özellikleri, ekran yakalama, gizli web tarayıcı dağıtım ve pano içerik hasadı ile kapsamlı anahtarlar.
C2 daha sonra RC4 şifrelenmiş parola ile doğru anahtarın onaylanmasıyla yanıt verir ve istemci kurban cihazı için parmak izi bilgilerini gönderir.
Ek olarak, bazı varyantlar hem Gecko hem de krom bazlı tarayıcıları hedefleyen kimlik bilgisi hırsızlığı özelliklerine sahiptir.
Araştırmacıların büyük dil modelleri kullanılarak dönüştürülmüş olabileceğine inandıkları Python varyantı, kendini aşınma, indirme/yürütme işlemleri ve ters kabuk özellikleri ile sınırlı düşük işlevselliği korur.
Bu aerodinamik yaklaşım muhtemelen bir kaçaklama mekanizması olarak hizmet eder, çünkü Virustotal analiz daha az güvenlik satıcısının python tabanlı varyantları başarıyla tanımladığını göstermektedir.
Dağıtım ve başlangıç erişim yöntemleri
Nightshadec2 öncelikle iki ayrı vektörden yayılır. Birincisi, kurbanlara Booking.com gibi meşru hizmetler etrafında temalı sahte captcha doğrulama sayfaları sunan ClickFix Sosyal Mühendislik taktiklerini kullanır.
Kullanıcılar, enfeksiyon zincirini başlatarak Windows Run istemi aracılığıyla kötü amaçlı komutlar yürütmek için talimatlar alır.
İkinci dağıtım yöntemi, meşru yazılım uygulamalarının trojanize sürümlerini içerir.
TRU araştırmacıları, gelişmiş IP tarayıcısı, Express VPN, hiperSecure VPN, CCleaner ve her şey arama yardımcı programının tehlikeye atılmış sürümlerini belirlediler. Bu yaklaşım, ilk sistem uzlaşmasını sağlamak için tanıdık yazılım markalarına kullanıcı güveninden yararlanır.
![rezervasyon[.]com temalı ClickFix saldırısı.](https://gbhackers.com/wp-content/uploads/2025/09/New-Botnet-Emerges-from-the-Shadows-Figure-1-1024x546.png)
Başarılı kurulum üzerine NightShadec2, Winlogon, Runonce ve aktif kurulum girişleri dahil olmak üzere birden fazla Windows kayıt defteri mekanizmaları aracılığıyla kalıcılık oluşturur.
Kötü amaçlı yazılım, güvenlik araştırmacısı ortamlarından ve analiz sanal alanlarından kaçınmak için kurban coğrafi konum verilerini ve VPN durum bilgilerini toplamak için IP-Api.com’u sorgulayarak ilk keşif yapar.
Botnet Keylogging ve Pano hasat özellikleri, “Isabellawine” gibi belirli sınıf adlarıyla oluşturulan gizli pencerelerden çalışır.
Kötü amaçlı yazılım, pano biçimi dinleyicileri ve tüm uygulamalarda kullanıcı girişini yakalamak için düşük seviyeli klavye kancalarını yükler.
Hasat edilen veriler, yüksek işlemler için “Johniidepp” gibi değişken adlara sahip gizli günlük dosyalarında ve standart kullanıcı bağlamları için “luchiisvets” (“Rayslight” için Rusça) olarak saklanır.
NightShadec2, çeşitli kötü amaçlı işlemleri destekleyen kapsamlı bir komut seti uygular.
Bunlar arasında tutma mekanizmaları, ters kabuk kuruluşu, dosya yükleme/indirme özellikleri, C2 sunucu taşıma, kendi kendine israf, gizli masaüstü oluşturma, ekran yakalama işlevselliği ve kopya/yapıştırma işlemlerini ve simüle edilmiş klavye/fare girişini sağlayan uzaktan kumanda özellikleri bulunur.
UAC bypass teknikleri
UAC istemi bombalamasının ötesinde, TRU araştırmacıları NightShadec2 kampanyaları tarafından kullanılan iki ek UAC bypass yöntemi belirlediler.
Birincisi, UAC özelliklerini uygulayan RPC sunucusu davranışını kullanan 2019 güvenlik açığı kullanır.
Windows 11’den daha eski olan ikinci teknik, hedefleme sistemleri, kullanıcı etkileşimi olmadan ayrıcalıkları artırmak için kayıt defteri değişiklikleri ve lolbin (arazi ikili dışında yaşamak) süreçleri yoluyla planlanan görevi manipüle eder.
Esentir, NightShadec2’nin hem C hem de Python varyantlarını tespit etmek için kapsamlı YARA kuralları geliştirdi.
Güvenlik firması, kuruluşların Grup Politikası nesneleri aracılığıyla Windows çalıştırma işlemini devre dışı bırakma, uç nokta algılama ve yanıt yetenekleri ile yeni nesil antivirüs çözümlerinin dağıtılması ve kapsamlı kimlik avı ve güvenlik bilinci eğitim programlarının oluşturulması gibi çeşitli savunma önlemleri uygulamasını önerir.
NightShadec2’nin keşfi, modern kötü amaçlı yazılım kampanyalarının gelişen karmaşıklığını ve çok katmanlı güvenlik yaklaşımlarının kritik önemini vurgulamaktadır.
Kuruluşlar, bu gelişmiş kalıcı tehditlere karşı savunmak için sağlam uç nokta korumasını ve kullanıcı eğitim programlarını sürdürürken sosyal mühendislik taktiklerine karşı uyanık kalmalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.