Sidewinder Apt Hacker’lar, kötü amaçlı yazılımları dağıtmak için eski ofis güvenlik açıklarından yararlanır.

Acronis Tehdit Araştırma Birimi (TRU), Sidewinder Gelişmiş Kalıcı Tehdit (APT) Grubu tarafından düzenlendiğine inanılan gelişmiş bir kampanyayı ortaya çıkardı.

2025’in başlarında yürütülen bu operasyon, öncelikle Sri Lanka, Bangladeş ve Pakistan’daki yüksek değerli hükümet ve askeri kurumları hedef aldı ve çağdaş tespit mekanizmalarından kaçınırken, kimlik bilgisi çalma kötü amaçlı yazılımları dağıtmak için Unched Legacy Microsoft ofis güvenlik açıklarından yararlandı.

Sidewinder’ın stratejisinin kalbinde eski ve yeni bir karışımı: Saldırganlar, yerel hükümet organlarını veya üst düzey organizasyonları taklit eden, kötü niyetli kelime veya RTF eklerini yerleştiren mızrak-akraba e-postaları üretiyor.

– Reklamcılık –

Bu belgeler, yetersiz yama yönetimi nedeniyle birçok kuruluşta devam eden güvenlik açıkları olan CVE-2017-0199 ve CVE-2017-11882’den yararlanmaktadır.

CVE-2017-0199, ofis dosyalarındaki kötü niyetli harici nesne referanslarından yararlanarak uzaktan kod yürütülmesini sağlarken, CVE-2017-11882, Legacy Denklem Düzenleyicisi bileşeninde bir bellek bozulması hatasını kötüye kullanarak saldırganların belge açılışında keyfi kod yürütmesine izin verir.

Benzersiz bir şekilde, Sidewinder, saldırganların sunucularının bir sonraki enfeksiyon aşamasını yalnızca kurbanın IP ve kullanıcı ajanı başlıkları Bangladeş, Sri Lanka veya Pakistan’daki hedeflerle eşleşmesi durumunda bir sonraki enfeksiyon aşamasını sunar.

Hedeflenmemiş kullanıcılar iyi huylu tuzak belgeleri veya hata mesajları alır, analizi engeller ve algılamayı en aza indirir.

Sömürü zinciri başladığında, RTF yükü içine gömülü olan kabuklu bir yükleyici tetiklenir.

Bu kabuk kodu, sadece çevre meşru görünüyorsa ilerleyen bellek muayenesi ve sanal alan kaçırma teknikleri kullanılarak yoğun bir şekilde gizlenmiştir.

Her bir kurban için sunucu tarafı polimorfizmiyle ayrı ayrı kodlanmış ikinci aşamalı bir ikili olarak indirir ve VirtualLocex ve CreateMotethread gibi klasik Windows API yöntemlerini kullanarak güvenilir bir sürece (tipik olarak Explorer.exe) enjekte eder.

Kimlik bilgisi hasat

Üçüncü aşama yük, dahili olarak “stealerbot.cppinstallerdocx.dll” olarak bilinen bir DLL’dir.

Rundll32.exe veya DLL ile yürütülen bu modül, meşru bir imzalı yürütülebilir dosyadan (tapiUnattend.exe) aracılığıyla çok çeşitli hassas veri toplar: kullanıcı adları, sistem özellikleri, sürücü ayrıntıları, MAC adresi, ağ yapılandırması ve yüklü AV ürünleri.

Bu bilgiler baz 64 kodludur, gizlenir ve IP/Etki Alanı Block Lists’ten kaçacak şekilde döndürülen komut ve kontrol (C2) sunucusuna geri gönderilir.

Saldırganlar, yeniden başlatmada kötü niyetli zinciri tetikleyen Windows başlangıç ​​klasörü LNK (kısayol) dosyaları aracılığıyla kalıcılık kullanır.

Ayrıca, son kötü amaçlı yazılım bileşenleri, disk yazmalarından kaçınarak ve adli tıptan kaçınarak xor kodlaması ve bellek içi yüklenir.

StealerBot, gizli iletişimleri ve dinamik alan altyapısına sahip şifreli C2 kanallarını katmanlama kullanarak hem kimlik bilgilerini ve erişimi sürdürmede yetkindir.

Altyapı ve hedefleme

TRU analistleri, 2025 yılının başlarında ilgili kötü amaçlı alanlarda önemli bir artış gözlemlediler ve Sidewinder’ın kaynak taahhüdünü ve operasyonel tempoyu yansıtır.

Patlamalarda kayıtlı ve sık sık döndürülen C2 alanları, hükümet, finansal veya savunma kuruluşlarını taklit etmek ve sosyal mühendislik güvenilirliğini artıracak şekilde hazırlanmıştır.

Grubun yemleri oldukça özelleştirilmiştir; Dikkate değer örnekler arasında Sri Lanka Ordusu 55 Bölümü ve Sri Lanka’nın BT Müdürlüğü Merkez Bankası için tasarlanmış askeri etkinliklere veya resmi ekonomik brifinglere davetiyeler yer alıyor.

Kampanya çok çeşitli yüksek değerli kurumlara atıfta bulunurken, teyit edilen mağdur, şu anda Sri Lanka ve Bangladeş askeri ve finans sektörleriyle sınırlı olduğunu ve bu da SideWinder’ın kimlik avı e-postalarında doğrudan hedefleme ve güvenilirliği artırma taklitinin bir kombinasyonunu gösteriyor.

Saldırganlar, imzaya dayalı tespit ve otomatik örnek korelasyonunu hayal kırıklığına uğratmak için sunucu tarafı polimorfizmini kullanarak hedef başına benzersiz yükler üreterek operasyonel güvenliği sürdürür.

Güney Asya’daki kuruluşların özellikle hükümet, askeri veya kritik altyapıdaki kuruluşların, özellikle CVE-2017-0199 ve CVE-2017-1882 olmak üzere eski ofis güvenlik açıklarının derhal yamalanmasını zorlaması istenmektedir.

Makroların ve harici şablon yüklemesinin devre dışı bırakılması, mShta.exe, wscript.exe ve powerShell.exe kullanımının kısıtlanması ve anomal çocuk işlemlerini veya bellek enjeksiyonunu işaretleyen davranışsal algılama araçlarının dağıtılması kritik adımlardır.

Bilinen kötü niyetli alanlara karşı ağ düzeyinde filtreleme ve mızrak akma işaretlerini tanımak için kullanıcı eğitimine karşı riski azaltmak için de gereklidir.

Bu kampanya, tanınmış istismarlara karşı esnekliğin sadece ileri tespiti değil, aynı zamanda temel güvenlik hijyenine de acımasızca dikkat ettiğini güçlendirir.

SideWinder’ın coğrafi dağılım, kabuk kodu yükleyicileri, DLL sideloading ve hızlı altyapı çalkalanmasını birleştiren gelişen taktikler, APT’lerin “unutulmuş” güvenlik açıklarından yararlanan kalıcı tehdidi gösteriyor.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!