Siber güvenlik manzarası, örgütsel ağlara sızmak ve hassas bilgileri çalmak için giderek daha karmaşık saldırı metodolojileri geliştiren sofistike tehdit aktörlerine tanık olmaya devam ediyor.
Güvenlik araştırmacıları tarafından yapılan yakın tarihli bir soruşturma, Rus mühendislik girişimini dikkatle düzenlenmiş çok aşamalı bir saldırı yoluyla başarıyla nüfuz eden Sultal Wolf Gelişmiş Kalıcı Tehdit (APT) Grubu tarafından düzenlenen kalıcı bir kampanyayı ortaya çıkardı.
Mayıs 2025’in başlarında başlayan bu kampanya, grubun rafine taktiklerini ve kurumsal sırlara yetkisiz erişim elde etmek için kalıcı yaklaşım gösteriyor.
Saldırı, tanıdık ama etkili bir vektörle başladı: kötü niyetli PDF belgeleri ve şifre korumalı fermuar arşivleri içeren kimlik avı e-postaları.
.webp)
Görünüşte zararsız görünen bu finansal belgeler, tehdit aktörlerinin hedef organizasyon içinde dayanaklarını kurmaları için ilk geçit olarak hizmet etti.
Mühendislik şirketi, birkaç hafta sürecek ve sonuçta ağ altyapılarında birden fazla sistemden ödün verecek olan sofistike bir operasyonun kurbanı oldu.
Kötü niyetli aktörler, çift uzantılı (.pdf.exe) yürütülebilir dosyaları gizleyerek, potansiyel kurbanları aldatmak için Windows’un dosya uzantılarını gizleme varsayılan davranışlarından yararlanarak sosyal mühendislik teknikleri kullandılar.
Dr.Web analistleri, saldırıyı kötü amaçlı yazılım örneklerinde bulunan ayırt edici eserler aracılığıyla Sultal Wolf Grubunun çalışması olarak tanımladılar.
.webp)
Araştırmacılar, bu kampanyanın, kalıcılığı korumak ve tespitten kaçınmak için hem özel olarak geliştirilen araçları hem de meşru idari kamu hizmetlerini birleştirerek grubun taktiklerinde önemli bir evrimi temsil ettiğini belirtti.
Soruşturma, tehdit aktörlerinin önceki kampanyalardan bu yana yaklaşımlarını geliştirdiklerini ve hizmet olarak kötü amaçlı yazılım Truva atlarını tescilli modüler arka kapı sistemleri lehine terk ettiklerini ortaya koydu.
Birincil enfeksiyon vektörü, daha sonra Trojan.updatar.2 ve Trojan.updatar.3 gibi ek bileşenleri indiren Trojan.updatar.1’in dağıtımını içeriyordu.
Saldırganlar ayrıca, uzlaşmış ağ boyunca kalıcılık ve yanal hareket yapmak için Metasploit çerçevesi, bitler hizmet görevleri ve uzak masaüstü protokolleri gibi meşru araçlardan yararlandı.
RockYou Gizlasyon: Yeni Bir Kaçış Tekniği
Bu özel varyantı ayırt eden şey, Dr.Web analistlerinin kötü amaçlı yazılım analizi çabalarını önemli ölçüde karmaşıklaştıran sofistike bir teknik olan “Rockyou Obfuscation” olarak adlandırdığı şeyleri uygulamasıdır.
Bu yöntem, geçmiş veri ihlallerinden derlenen 30 milyondan fazla yaygın olarak kullanılan şifreleri içeren rezil rockyou.txt şifre sözlüğünden dizilerin sürekli olarak başlatılmasını içerir.
Truva atı, bu sözlük dizeleri üzerinde kötü amaçlı yazılımların temel işlevselliğini etkilemeyen çeşitli işlemler gerçekleştirerek kötü amaçlı kodun gerçek amacını gizleyen etkili bir duman perdesi oluşturur.
Bu arada, kötü amaçlı yazılımların operasyonel işlevselliği ile doğrudan ilgili dizeler, küçük ofset manipülasyonları ile birlikte XOR işlemleri kullanılarak kodlanır:-
// RockYou strings used for obfuscation
char dummy_strings[] = {"password123", "qwerty", "letmein"};
// Actual malicious strings are XOR-encoded
char encoded_payload[256];
xor_decode(encoded_payload, random_key, small_offset);Hem XOR işlemleri hem de ofset değerleri için şifreleme anahtarları, her bir Truva atı için randomize edilir.
Bu gizleme tekniği, kötü niyetli amaçlar için meşru güvenlik testi kaynaklarının akıllı bir uyarlamasını temsil ederek, tehdit aktörlerinin kaçınma tekniklerini nasıl yenilemeye devam ederken, başlangıçta savunma siber güvenlik operasyonlarına yönelik halka açık veri kümelerinden yararlanır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.