Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) araştırmacıları yeni bir SideCopy kampanyasını ortaya çıkardı. Tehdit aktörü grubunun daha önce Hindistan ve Afganistan’daki hükümet ve askeri hedeflere odaklanarak Güney Asya ülkelerini hedef aldığı gözlemlenmişti.
Mayıs 2023’ten bu yana aktif olan kampanya, kötü amaçlı LNK dosyalarını, HTA’ları ve yasal belgeler gibi görünen yükleyici DLL’lerini içeren karmaşık enfeksiyon zincirleri yoluyla üniversite öğrencilerini hedef alıyor. Sonuçta kampanya, Ters RAT ve Eylem RAT gibi kötü amaçlı yazılım yüklerini dağıtarak saldırganlara virüslü cihazlar üzerinde kapsamlı kontrol sağlıyor.
Araştırma, son zamanlarda üniversite öğrencilerine odaklanması ve Transparent Tribe APT grubuyla etkinliklerde olası örtüşmeler gibi SideCopy’nin kullandığı taktikleri araştırıyor.
SideCopy Kampanya Enfeksiyon Zincirinin Teknik Analizi
Mayıs ayı başında CRIL, SideCopy grubunun operasyonlarında kullandığı kötü amaçlı bir alan adını tespit etti. Web sitesinin, “ekonomi”, “it” ve “anket” olarak etiketlenen alt dizinleri içeren “files.zip” adlı bir ZIP arşiv dosyası barındırdığı keşfedildi. Anket dizini, SideCopy’nin daha önceki kampanyalarında kullandığı dosyalara benzer dosyaları içeriyordu.
Kampanya, ilk bulaşma vektörü olarak ele geçirilen web sitesi aracılığıyla barındırılan kötü amaçlı ZIP arşivini dağıtmak için muhtemelen spam e-postaları kullanıyor. Bu arşivler, “IT Trends.docx.lnk” gibi meşru belgeler gibi görünen kötü amaçlı LNK dosyalarını içerir.
LNK dosyaları yürütüldükten sonra, kötü amaçlı bir HTA dosyasını indirip çalıştıracak bir dizi komutu tetikler. İndirilen HTA dosyaları, ek yem belgeleri ve DLL dosyaları içinde gömülü veriler içerir. Yem belgeleri, hedeflenen demografiye meşru görünecek şekilde genellikle güncel olaylar veya ilgili akademik konular etrafında temalandırılır.
Kötü amaçlı yazılım, Avast, Kaspersky ve Bitdefender gibi farklı antivirüs yazılımlarının varlığına uyum sağlayacak işlevsellikle tasarlanmıştır; bu, LNK kısayol dosyalarını başlangıç klasörüne yerleştirerek algılamadan kaçınma ve kalıcılığı sağlama yeteneğini daha da artırır.
Saldırı süreci sonuçta Ters RAT ve Eylem RAT gibi kötü amaçlı yüklerin kurbanın sistemine konuşlandırılmasına yol açar ve bu veriler daha sonra kötü amaçlı faaliyetleri başlatmak için uzak bir Komuta ve Kontrol (C&C) sunucusuna bağlanır.
Şeffaf Kabile Faaliyetleriyle Kesişme
Araştırma ayrıca SideCopy ile Hint askeri ve akademik kurumlarını hedef aldığı bilinen başka bir APT grubu olan Transparent Tribe arasında potansiyel bir örtüşme veya işbirliği olduğunu öne sürüyor. Bu kesişme, iki grup arasında olası bir işbirliği çabasına veya ortak hedeflere işaret ediyor; araştırmacılar daha önce SideCopy’nin Transparent Tribe’ın bir alt bölümü olarak işlev görebileceğini belirtmişti.
SideCopy’nin ayrıca, karmaşık bir enfeksiyon zinciri başlatmak için gizlenmiş LNK dosyalarının kullanılması gibi kötü amaçlı yazılım dosyalarının dağıtımında Sidewinder APT grubunun taktiklerini taklit ettiği de bilinmektedir.
CRIL araştırmacıları, bu potansiyel tehdide karşı önlem almak için güçlü e-posta filtreleme sistemlerinin kullanılmasını, dikkatli olunmasını, ağ düzeyinde izleme uygulanmasını ve PowerShell, MSHTA, cmd.exe gibi komut dosyası dillerinin devre dışı bırakılmasını önerdi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.