**İleri Kalıcı Tehdit Grubu Silver Fox: Sağlık Sektöründe Siber Casusluk**
.png
)
Void Arachne veya Valley’in Büyük Hırsızı olarak da bilinen Çin merkezli İleri Kalıcı Tehdit (APT) Grubu Silver Fox, sağlık hizmeti dağıtım organizasyonlarını (HDO’lar) ve kamu sektörü kuruluşlarını hedefleyen karmaşık bir çok aşamalı kampanyanın orkestratörü olarak tanımlanmıştır.
Silver Fox, 2024’ten beri aktif ve devlet destekli olduğuna inanılan bir grup olarak bilinmektedir. Truva tıbbi yazılım ve bulut altyapısı kullanarak siber casusluk ve veri hırsızlığı operasyonlarını yürüten bu grup, saldırılarının merkezinde özel bir uzaktan erişim Truva atı (sıçan) bulunmaktadır.
**Çok Aşamalı Siber Casusluk Kampanyası**
Saldırı zinciri, krom, VPN istemcileri ve AI araçları gibi meşru uygulamalar için SEO zehirlenmesi, kimlik avı ve geri yüklenen montajcılar gibi ilk enfeksiyon vektörleriyle başlar. Dikkat çekici bir durum olan Philips Dicom Viewer’ın birinci aşama damlası görevi gören mediaViewerlauncher.exe olarak gizlenmiş truva atlı bir versiyonunu içermektedir.
Yürütüldükten sonra, kötü amaçlı yazılım, şifreli yapılandırma dosyalarını ve iyi huylu görüntü dosyaları (örn. A.Gif, S.JPEG) olarak maskelenmiş yükleri almak için bir Alibaba Cloud Nesne Depolama Hizmeti (OSS) kovası ile temasa geçer.
Picus Güvenlik Raporuna göre, bu dosyalar, sonraki aşamaların yolunu açan TruesightKiller Driver (189atohci.sys) ve Shellcode gibi bileşenler içermektedir. Paralel işlemler, sistem keşifleri için yerel Windows komutlarını (cmd.exe, ping.exe) çalıştırır ve PowerShell’i C: ProgramData gibi yollar için Windows Defender istisnaları ekleyerek tespit edilmemiş işlemleri sağlar.
**Silahlı Yazılım ve Bulut Altyapısı**
İkinci aşamada, Silver Fox yükleyici hazırlama ve antivirüs (AV) kaçırmaya odaklanır. İndirilen dosyalardan Shellcode bellekte yürütülür, kötü niyetli DLL’leri açar ve kalıcılık için RPC kitaplıkları aracılığıyla görevleri planlar. Windows Defender gibi güvenlik yazılımı algılanırsa, TruesightKiller sürücüsü, belirli IOCTL çağrıları ile CihaziOcontrol kullanarak AV işlemlerini sonlandırmak için güvenlik açıklarını kullanır. Son aşama, hepsi planlanan görevlerle yeniden başlatılacak şekilde yapılandırılmış bir Keylogger ve Cryptominer’ın yanı sıra uzaktan erişim için kalıcı bir arka kapı kuran Vallereyat’ı dağıtır.
8.217.60.40:8917 numaralı telefondan geçersiz bir komut ve kontrol (C2) sunucusu ile iletişim, grubun tehlikeye atılan sistemler üzerinde uzun vadeli kontrolü sürdürme niyetinin altını çiziyor.
Onaylanan kampanyalar, Japonya ve Tayvan’ın dijital olarak imzalanmış sahte maaş bildirimlerini kullanarak “el ele tutuşma operasyonu” ve Tayvan Ulusal Vergilendirme Bürosu taklit eden kimlik avı yemini hedefleyen saldırılarla ortaya çıkıyor. Bu taktikler, meşru varlıklara olan güvenden yararlanır ve hükümet ve endüstriyel sistemlere sızmak için Winos 4.0 sunar. Grubun çalıntı sertifikaları kullanması ve kötü amaçlı kurulumcuları dağıtmak için SEO zehirlenmesi, tehdidi daha da artırarak popüler yazılım için kullanıcı talebini avlar.
Kuruluşlardan EDR/XDR araçlarıyla uç nokta görünürlüğünü artırmaları, PowerShell günlüğünü etkinleştirmesi ve yazılım kurulumlarını güvenilir kaynaklarla sınırlamaları istenir. Ağ segmentasyonu, en az ayrıcalık erişimi ve alışılmadık planlanmış görevler veya tanıdık olmayan IP’lere trafik için davranışsal izleme, bu gizli düşmana karşı kritik savunmalardır. Silver Fox Apt’ın teknik sofistike ve sosyal mühendislik karışımı, onu dünya çapında kritik altyapı için zorlu bir tehdit olarak işaret ediyor.
**Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin**
Kaynak: [Silver Fox APT](https://gbhackers.com/silver-fox-apt-uses-weaponized-medical-software/)