Tehdit araştırmacıları, saldırganların kalıcı erişim sağlamak ve gizli proxy altyapısı oluşturmak için Sliver komuta ve kontrol çerçevesini dağıttığı, birden fazla kıtadaki FortiWeb web uygulaması güvenlik duvarlarını hedef alan karmaşık bir saldırı kampanyasını ortaya çıkardı.
Keşif, Censys’teki rutin açık dizin tehdit avcılığı sırasında bulunan Silver C2 veritabanlarının ve günlüklerin analiz edilmesiyle elde edildi ve eski FortiWeb cihazlarında halka açık güvenlik açıklarından yararlanan iyi organize edilmiş bir operasyonu ortaya çıkardı.
Tehdit aktörü, özellikle 5.4.202’den 6.1.62’ye kadar olan eski sürümleri hedef alarak, birden fazla FortiWeb cihazında halka açık güvenlik açıklarından yararlanarak ilk erişimi elde etti.
Araştırmacılar, saldırganın kurban altyapısını tehlikeye atmak için bilinmeyen FortiWeb güvenlik açıklarının yanı sıra React2Shell’den (CVE-2025-55182) yararlandığına dair kanıtlar elde etti.
FortiWeb saldırılarına ilişkin kavram kanıtlama kodunun bulunmaması, tehdit aktörünün sıfır gün güvenlik açıklarını hedef alıyor olabileceğini veya henüz kamuya açıklanmayan silahlı saldırılardan yararlanıyor olabileceğini gösteriyor.
Komuta ve Kontrol Altyapısı
Araştırmada iki ana C2 alanı belirlendi: ns1.ubunutpackages[.]mağaza ve ns1.bafairforce[.]ordu, her ikisi de Sliver örneklerine ev sahipliği yapıyor.
Tehdit aktörü, meşru hizmetleri taklit eden sahte web siteleri, sahte Ubuntu Paketleri deposu ve sahte bir Bangladeş Hava Kuvvetleri işe alım sayfası oluşturarak gelişmişlik sergiledi.
C2 oluşturma zaman damgalarının analizi, ilk alanın Eylül 2024’te kaydedildiğini, ancak mağdurların katılımının 22-30 Aralık 2025 arasında önemli ölçüde hızlandığını ve 30 benzersiz ana bilgisayarın yalnızca sekiz günde tehlikeye atıldığını ortaya koyuyor.
Düşmanlar, Sliver ikili dosyasını /bin/.root/system-updater adresindeki bir sistem güncelleyici işlemi olarak gizleyerek sistem hizmetleri ve yönetici yapılandırma değişiklikleri yoluyla kalıcılık sağladı.
Tehdit aktörü, komut yürütmeyi ve yanal hareketi kolaylaştırmak için Hızlı Ters Proxy’yi (FRP) ve meşru CUPS Satır Yazıcı Arka Plan Programı kılığına girecek şekilde 515 numaralı bağlantı noktasına bağlı, “cups-lpd” olarak yeniden adlandırılan gizlenmiş bir microsocks SOCKS proxy’sini konuşlandırdı. Bu aldatma taktiği önemli bir operasyonel disiplinin göstergesidir.
Mağduriyet analizi, Pakistan ve Bangladeş’te, finans ve hükümet sektörlerinden çok sayıda kurbanın yoğun olarak hedef alındığını ortaya çıkardı.
Bangladeş temalı tuzak altyapısının seçimi, gözlemlenen kurban konumlarıyla uyumlu, bu da operasyonun fırsatçı olmaktan çok hedef odaklı olduğunu gösteriyor.
İkili dosyayı analiz ettiğimizde bunun, meşru Linux CUPS Line Printer Daemon’un dinleyeceği beklenen bağlantı noktası olması nedeniyle dikkat çekici olan 515 numaralı bağlantı noktasındaki SOCKS hizmetini açığa çıkaracağını görebiliriz.
Ancak daha geniş tehdit, temel bir güvenlik kör noktasında yatmaktadır: FortiWeb cihazları ve benzer uç cihazlar genellikle yerleşik uç nokta algılama ve yanıt (EDR) yeteneklerinden yoksundur ve kuruluşlar nadiren satış sonrası güvenlik araçlarını kullanır.
Kritik Tespit Boşluğu
Araştırma önemli bir tespit zorluğunun altını çiziyor. Çoğu kuruluş, geleneksel uç noktaları izleyen ve cihaz düzeyindeki uzlaşmaları büyük ölçüde görünmez bırakan merkezi EDR çözümlerine güveniyor.
Araştırmacılar, bu saldırının kanıtlarının yalnızca tehdit aktörünün yanlışlıkla operasyonel günlükleri ve veritabanlarını ifşa etmesi nedeniyle ortaya çıktığını belirtti; bu, güçlendirilmiş ağ çevre cihazlarında kaç benzer saldırının tespit edilmeden devam edebileceğini açıkça hatırlatıyor.
Bu kampanya, kuruluşların güvenlik izleme, eski cihaz güncellemelerine öncelik veren güvenlik açığı yönetimi programları ve tehlikeye atılmış çevrelerden yanal hareketi sınırlayan ağ bölümlendirmesi de dahil olmak üzere uç cihazlar üzerinde telafi edici kontroller uygulamasının gerekliliğini vurguluyor.
Yeniden adlandırılan yardımcı programların ve yasal görünen hizmetlerin gelişmiş kullanımı, tehdit aktörlerinin, geleneksel güvenlik araçlarının sınırlı görünürlük sağladığı ortamlarda tespit edilmekten kaçınmak için ticari becerilerini uyarladıklarını gösteriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.