Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Saldırılar, Kimlik Avı PDF’leri Kullanılarak Çin’den Malezya’ya Taşınıyor
Prajeet Nair (@prajeetspeaks) •
17 Ekim 2025
Araştırmacılar, uzaktan erişim truva atının izini aynı tehdit aktörüne kadar uzanan, Asya-Pasifik bölgesindeki Çince konuşanları hedef alan görünüşte ilgisiz saldırılar olduğunu söylüyor.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Çin, Tayvan, Japonya ve Malezya’da tespit edilen saldırılar arasında HoldingHands Truva atı yükü, gizleme teknikleri ve Tencent Bulut depolama alanına bağımlılık gibi unsurlar yer alıyor.
Fortinet’ten araştırmacılar, Tayvan’ı hedef alan kampanyayı ilk olarak Ocak 2025’te Winos 4.0 adlı farklı kötü amaçlı yazılımla tespit etti.
Ancak Fortinet Cuma günü yaptığı açıklamada, Şubat ayına gelindiğinde tehdit aktörünün yeni kötü amaçlı yazılım ailelerine yöneldiğini ve Asya genelinde hedefleme çabalarını genişlettiğini söyledi.
Fortinet tehdit araştırmacısı Rachael Pei, “Geçen ay VirusTotal’da Çince adlara sahip çeşitli varyantlar bulunduğundan, Çince konuşanlar birincil odak noktası gibi görünüyor” dedi. Bilgisayar korsanlarının büyük olasılıkla motivasyonunun, “kötü amaçlı yazılımın daha sonraki komutları beklerken uykuda kalmasıyla” bölgesel istihbarat toplama olduğunu söyledi.
Saldırganlar öncelikle, maliye bakanlıkları ve diğer devlet kurumlarından gelen yazışmalar gibi görünen, virüslü PDF’ler içeren kimlik avı e-postalarına güveniyor. Bu PDF’ler, analistlerin birden fazla kötü amaçlı dosya kümesini aynı aktöre bağlamasını sağlayan benzersiz hesap kimliklerine sahip, çoğu Tencent Cloud’da barındırılan birden fazla gömülü bağlantı taşıyordu.
Daha sonraki bazı belgeler hükümetin satın alma emirlerini taklit ederken, diğerleri vergi düzenlemesi taslakları olarak ortaya çıktı. Tayvan’ı hedef aldığı anlaşılan dikkate değer bir dosya, kurbanları Japonca dilindeki bir sayfaya yönlendirerek ZIP indirmesini sağladı. Arşiv, farklı ülkelerdeki kullanıcıları aldatmak için kasıtlı çok dilli bir strateji olan HoldingHands’ı dağıtan yürütülebilir bir dosya içeriyordu.
Teknik ipuçları Japon ve Tayvan saldırılarını birbirine bağladı. Her ikisi de ortak bir komuta ve kontrol IP adresini paylaşıyordu 156.251.17.9 ve tespit edilmekten kaçınmak için meşru dijital imzalar taşıyan yürütülebilir dosyalar kullandı.
Analistler aynı altyapının Malezya’ya karşı daha yeni kampanyalarda kullanıldığını keşfetti. Etki alanı twczb.comDaha önce Tayvan hedefli kimlik avıyla bağlantılı olan . Bu dalgada saldırganlar yine kimlik avı sayfalarına başvurdu ancak daha karmaşık, çok aşamalı bir enfeksiyon akışı başlattı.
Yürütülebilir dosyaları diske bırakan önceki sürümlerin aksine, en yeni HoldingHands çeşidi, sonraki saldırı aşamalarını tetiklemek için Windows Görev Zamanlayıcı’yı kullanır. Kötü amaçlı yazılım meşru sistem süreçleri aracılığıyla dolaylı olarak yürütülebildiğinden, adli izleri en aza indirdiğinden ve davranış tabanlı güvenlik araçlarını atladığından bu, tespit edilmesini zorlaştırır.
Kötü amaçlı yazılım zinciri, “vergi denetim belgesi” olarak gizlenen ve adı değiştirilmiş bir kitaplığı yükleyen kötü amaçlı bir yürütülebilir dosyayla başlıyor. dokan2.dll. Bu dosya yürütülür sw.datOrtamı ayarlayan, anti-sanal makine kontrolleri gerçekleştiren ve Windows’un kimliğine bürünerek ayrıcalıkları yükseltmeye çalışan . TrustedInstaller hizmet.
Saldırganlar ayrıca kötü amaçlı yazılımı, yüklü antivirüs yazılımını tanımlayacak ve ona yanıt verecek şekilde programladı; Kaspersky bulunursa etkinliğini sonlandıracak veya Norton veya Avast algılandığında sahte DLL’leri bırakacak şekilde programlandı.
Saldırı zinciri oluşturulduktan sonra yeniden adlandırılmış bir sistem dosyası kullanır. TimeBrokerClient.dllşifrelenmiş kabuk kodunu yüklemek ve sonuçta HoldingHands yükünü dağıtmak için. Güncellenen sürüm, saldırganların komut ve kontrol sunucusunun IP adresini Windows kayıt defteri girişleri aracılığıyla uzaktan değiştirmesine olanak tanıyan yeni bir özellik içeriyor; bu, kalıcılığı ve esnekliği artıran bir uyarlama.
Araştırmacılar, veri yükünün, oturum açmış kullanıcıların kimliğine bürünme ve güvenilir işlemlere kötü amaçlı kod yerleştirme gibi daha önceki saldırılardan kalma birçok temel özelliği koruduğunu söyledi. taskhostw.exe ancak artık dolaylı yürütme yolları ve dinamik altyapı güncellemeleri de sunuluyor.