Geçtiğimiz ay, adı verilen hedefli bir kampanya İpek Cazibesi Operasyonu ValleyRAT’ın yeni bir versiyonunu dağıtmak için Windows Görev Zamanlayıcı’yı kullanan bir virüs ortaya çıktı.
2025’in ortalarında ortaya çıkan operasyon, aday özgeçmişi gibi görünen kötü amaçlı LNK eklerini taşıyan hedef odaklı kimlik avı e-postalarına dayanıyor.
Kurbanlar bu ekleri açtığında gizli bir PowerShell komutu, sahte bir belgenin ve iki yürütülebilir dosyanın indirilmesini başlatır: bir yükleyici (keytool.exe) ve yandan yüklenen DLL (jli.dll).
İlk analiz, kimlik avı tuzağının Çinli fintech ve ticaret firmalarının İK departmanları için tasarlandığını ortaya koyuyor.
Kötü amaçlı LNK dosyası, Amerika Birleşik Devletleri’nde barındırılan bir komuta ve kontrol (C2) sunucusundan yükleri sessizce alan, gizlenmiş bir PowerShell tek satırlık içeriyor.
Çalıştırıldığında, damlalık adlı bir VBScript yazar. CreateHiddenTask.vbs kullanıcının AppData klasörüne yerleştirir ve kalıcılığı sağlamak için onu çalıştırır.
Seqrite araştırmacıları, bu komut dosyasının “Güvenlik” adlı günlük zamanlanmış bir görevi programlı olarak kaydettiğini, Microsoft Corporation’ı yazar olarak taklit ettiğini ve tespit edilmesini engellemek için kendisini hemen sildiğini belirtti.
Kalıcılık adımını takiben, yükleyici ikili dosyası (keytool.exe) yürütmek için DLL yan yüklemesini başlatır ve kullanır jli.dll.
Bu DLL, kendi dosyasında 8 baytlık bir işaretleyici bulur, sonraki şifrelenmiş veriyi çıkarır ve sabit kodlanmış bir anahtarla RC4 şifre çözme işlemini gerçekleştirir.
.webp)
Şifresi çözülen kabuk kodu doğrudan belleğe enjekte edilerek 206.119.175.16 adresindeki C2 sunucusuyla bağlantı kurulur ve keşif ve sızma başlatılır.
Seqrite araştırmacıları, ValleyRAT’ın içeri girdikten sonra kapsamlı veri toplama ve savunmadan kaçınma manevraları yaptığını belirtti.
WMI sorguları aracılığıyla sanallaştırma veya bilinen antivirüs ürünlerini kontrol ederken ana bilgisayarın parmak izini alır (CPU ayrıntılarını, ekran çözünürlüğünü ve NIC bilgilerini toplar).
360Safe ve Kingsoft dahil olmak üzere tespit edilen güvenlik hizmetlerinin ağ bağlantıları zorla sonlandırıldı. Tüm etkinlikler HTTPS üzerinden gizli bir şekilde günlüğe kaydedilir ve iletilir; bu da kimlik bilgileri hırsızlığı ve kurumsal casusluk riskini artırır.
Enfeksiyon Mekanizması ve Kalıcılık
Enfeksiyon zincirine daha yakından bakıldığında, ısrar taktiğinin zarafeti ortaya çıkıyor. Zamanlanmış görevi kaydetmek için kullanılan VBScript, Görev Zamanlayıcı ile etkileşim kurmak için COM arayüzlerini kullanır.
Aşağıda çekirdek snippet’i bulabilirsiniz CreateHiddenTask.vbs:-
Set service = CreateObject("Schedule.Service")
service. Connect
Set rootFolder = service.GetFolder("\")
Set taskDef = service.NewTask(0)
With taskDef.RegistrationInfo
.Author = "Microsoft Corporation"
End With
With taskDef.Triggers.Create(1) ' DAILY trigger
.StartBoundary = "2025-08-01T08:00:01"
.DaysInterval = 1
End With
With taskDef.Actions.Create(0) ' EXEC action
.Path = ExpandEnvironmentStrings("%APPDATA%\keytool.exe")
End With
rootFolder.RegisterTaskDefinition "Security", taskDef, 6, "", "", 3Kayıt olduktan sonra görev yürütülür keytool.exe her sabah saat 8.00’de. Bu mekanizma, sistem yeniden başlatıldıktan sonra bile yükleyicinin tutarlı bir şekilde çalışmasını sağlar.
Tehdit aktörleri, yazar meta verilerini gömerek ve komut dosyasını silerek normal sistem etkinliğine karışarak adli soruşturmaları karmaşık hale getirir.
LNK tabanlı ilk uzlaşma, VBScript kalıcılığı ve DLL yandan yüklemenin birleşimi, Silk Lure Operasyonunu, güncellenmiş av imzaları ve zamanlanmış görevlerin dikkatli bir şekilde izlenmesini gerektiren karmaşık bir tehdit haline getiriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
