SideWinder gelişmiş kalıcı tehdit grubu, StealerBot kötü amaçlı yazılımını Güney Asya’daki diplomatik ve hükümet hedeflerine karşı dağıtmak için ClickOnce uygulamalarından yararlanan gelişmiş yeni bir saldırı metodolojisiyle ortaya çıktı.
Eylül 2025’te güvenlik araştırmacıları Sri Lanka, Pakistan, Bangladeş’teki kurumları ve Hindistan merkezli diplomatik misyonları etkileyen hedefli bir kampanya tespit etti.
Saldırılar, geleneksel Microsoft Word tabanlı istismarların ötesine geçerek, modern güvenlik kontrollerini aşmak için tasarlanmış daha karmaşık bir PDF ve ClickOnce enfeksiyon zincirini benimseyerek, tehdit aktörlerinin ticari becerilerinde dikkate değer bir evrimi temsil ediyor.
Kampanya, her biri mağdurları kötü niyetli yükler yürütmeye yönlendirmek için bölgeye özgü temalarla özenle hazırlanmış, çok sayıda hedef odaklı kimlik avı e-postası dalgasıyla ortaya çıktı.
Saldırı tuzakları arasında, hedefleri Adobe Reader’ın güncellenmiş bir sürümü gibi görünen bir sürümü indirmeye teşvik eden “Bakanlıklar arası toplantı kimlik bilgileri.pdf” ve “Yeni Delhi emrinin hafifletilmesi.pdf” başlıklı belgeler yer alıyordu.
Kurbanlar yerleşik düğmeye tıkladıklarında farkında olmadan saldırganın kontrol ettiği altyapıdan bir ClickOnce uygulaması indirme işlemi başlattılar.
Bu uygulamalar, sertifika hırsızlığı yoluyla değil, meşru MagTek ikili dosyalarının DLL tarafından yüklenmesi yoluyla MagTek Inc.’in geçerli dijital imzalarını taşıyordu; bu, kötü amaçlı yazılımın Windows güvenlik uyarılarını atlamasına ve anında şüphe uyandırmadan çalıştırılmasına olanak tanıyan bir teknikti.
Trellix analistleri, Trellix E-posta Güvenliği üzerindeki SecondSight avlama yetenekleri aracılığıyla dördüncü saldırı dalgasını tespit ettikten sonra, kötü amaçlı yazılımın karmaşık kaçınma mekanizmalarını belirlediler.
Araştırmacılar, SideWinder’ın, hedeflenen bölgelerden gelen IP adreslerine yük dağıtımını kısıtlayan coğrafi sınırlama da dahil olmak üzere gelişmiş operasyonel güvenlik önlemleri uyguladığını belirtti.
Bu coğrafi kısıtlama, Güney Asya dışındaki güvenlik araştırmacılarının canlı kötü amaçlı yazılım örneklerine erişmesini engelleyerek analiz çalışmalarını önemli ölçüde karmaşık hale getirdi.
Ek olarak, tehdit aktörleri, rastgele sayısal bileşenlere ve zaman sınırlı yük kullanılabilirliğine sahip dinamik olarak oluşturulmuş URL’ler kullanarak, kötü amaçlı bileşenlerin yalnızca ilk güvenlik ihlalinin hemen ardından dar pencerelerde erişilebilir kalmasını sağladı.
Teknik karmaşıklık, kötü amaçlı yazılımın kalıcılığına ve yürütme mekanizmalarına kadar uzanır.
ClickOnce uygulaması çalıştırıldığında DEVOBJ.dll’yi .ns5 veya .1ym gibi rastgele uzantılara sahip şifrelenmiş bir yük dosyasıyla birlikte bırakır.
DLL, şifrelenmiş dosyanın ilk 42 baytını anahtar olarak kullanarak XOR şifre çözme işlemini gerçekleştirir ve ModuleInstaller’ı komut ve kontrol sunucusundan indiren bir .NET yükleyiciyi (App.dll) ortaya çıkarır.
ModuleInstaller daha sonra tehlikeye giren sistemin profilini çıkarır ve yasal bir Windows ikili programı olan TapiUnattend.exe ve son aşamadaki StealerBot kötü amaçlı yazılımını çalıştırmak için yan yükleme yapan wdscore.dll dahil olmak üzere yapılandırma dosyalarını alır.
Kötü amaçlı yazılım, Avast veya AVG algılamaları için mshta.exe’yi ve Kaspersky mevcut olduğunda pcalua.exe’yi kullanarak yüklü antivirüs ürünlerini tespit edip yürütme yolunu buna göre ayarlayarak uyarlanabilir davranış sergiliyor.
ClickOnce Uygulama Yapısı ve DLL Yan Yüklemesi
Enfeksiyon zincirinin temel gücü, ClickOnce’un güvenilir uygulama dağıtım çerçevesini kötüye kullanmasıdır.
SideWinder, kritik bileşenleri değiştirirken yapısal bütünlüğünü koruyarak meşru MagTek Okuyucu Yapılandırma uygulamasını (sürüm 1.5.13.2) silahlandırdı.
.webp)
Saldırganlar, tespit edilmekten kaçınmak için geçerli sertifika zincirlerini koruyarak, bildirimde orijinal MagTek genel anahtar belirtecini (7ee65bc326f1c13a) boş değerlerle (0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000)) değiştirdi.
Uygulamanın markası, MagTek’ten “Adobe Uyumluluk Paketi”ne dönüştürüldü ve Adobe Reader simgesi değişimiyle tamamlanarak, kimlik avı tuzağının amacına mükemmel bir şekilde uyum sağlandı.
Yük dağıtım mekanizması, meşru JSON yapılandırma dosyalarını (DeviceImages.json ve EmvVendorConfig.json) kötü amaçlı DEVOBJ.dll (SHA256: c1093860c1e5e04412d8509ce90568713fc56a0d5993bfdb7386d8dc5e2487b6) ile değiştirdi.
Bu DLL sonraki aşamalar için yan yükleme vektörü görevi görür. Bildiride, eski .NET Framework sürümleriyle uyumluluğu sağlamak ve eski kötü amaçlı yazılım bileşenlerinin yürütülmesini kolaylaştırmak için useLegacyV2RuntimeActivationPolicy=”true” yer alıyordu.
Yürütmenin ardından, sahte bir PDF belgesi mağdurlara görüntüleniyor ve meşru belge işleme yanılsamasını sürdürürken, kötü amaçlı yazılım kalıcılık sağlıyor ve arka planda veri sızdırma işlemlerini başlatıyor.
StealerBot kötü amaçlı yazılımı, kapsamlı casusluk operasyonları için tasarlanan kampanyanın nihai hedefini temsil ediyor.
Araştırmacılar temel enfeksiyon zinciri bileşenlerini başarılı bir şekilde tanımlarken, coğrafi sınırlama kısıtlamaları, kötü amaçlı yazılım ekosistemi içindeki proxy iletişimlerini yöneten IPHelper.dll’nin ötesinde ek eklenti modüllerinin edinilmesini engelledi.
Kampanyanın altyapısı; mofa-gov-bd gibi alanları kapsıyor[.]dosya yuvası[.]canlı ve mod-gov-bd[.]engeller[.]com — sosyal mühendisliğin etkinliğini artırmak için hükümet bakanlıklarının kasıtlı olarak taklit edildiğini gösteriyor.
Teknik gelişmişlik ve operasyonel güvenliğin bu birleşimi, stratejik bölgesel hedeflere karşı uzun vadeli casusluk hedeflerine kendini adamış bir düşmanı yansıtıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
