Tehdit aktörleri, Türk ve uzay sektörlerinde, özellikle savunma ve havacılık sektörlerindeki işlere saldırmak için Türk Havacılık ve Uzay Endüstrileri’ni (Tusaş) taklit etmek için sofistike bir kimlik avı operasyonu kullanıyorlar.
Kampanya, SHA256 HASH ile “Teklij Türk Türk. 0cb819d32cb3a2f218c5a17c02bb8c06935e926eBacf1e40a746b01e960c68e4.
MS Windows için bir .NET montajı olarak tanımlanan bu PE32 yürütülebilir Müsaberi, Snake Keylogger’ın bir varyantını, tarayıcılardan ve e-posta istemcilerinden kimlik bilgileri, çerezler ve finansal bilgiler de dahil olmak üzere hassas verileri hasat etmek için tasarlanmış bir bilgi çalan kötü amaçlı yazılım sunar.
Ortaya çıkan kimlik avı tehdidi
Yürütme üzerine, kötü amaçlı yazılım, PowerShell komutları gibi Windows Defender’ın dışlama listesine ve otomatik başlangıç için planlanan görevleri eklemek için gelişmiş kalıcılık tekniklerini kullanır ve tehlikeye atılan sistemlere uzun vadeli erişim sağlar.
Olay, Türkiye’nin Ulusal Bilgisayar Acil Müdahale Ekibine (USOM) bildirildi ve etkilenen mağdurları bilgilendirme ve işbirlikçi istihbarat paylaşımı yoluyla riskleri azaltma çabaları ile bildirildi.
Analiz, niyetini maskelemek için sıcaklık dönüşümleri gibi zararsız işlemler gerçekleştiren “sıcaklık dönüşümleri” adlı iyi huylu Windows formları uygulamasıyla başlayarak kötü amaçlı yazılımın katmanlı yapısını ortaya çıkarır.
Çalışma zamanında, Montaj ve Activator.CreateInstance kullanılarak belleğe ek yükler yükler ve matryoshka tarzı yuvalama sergiler.
Chiron Unpacker gibi araçlarla açılmak, VM, Sandboxie, Windows Defender ve Görev Yöneticisi Kaçma için boş anti-analiz saplamaları içeren “Remington” olarak adlandırılan temel kötü niyetli ikili, gelecekteki geliştirmeler için potansiyel olduğunu gösteriyor.
Teknik döküm
KeyLogger, kayıt defteri anahtarlarını geçerek, şifrelemeutoutookspassword gibi işlevler aracılığıyla şifreleri sınıflandırarak ve şifresini çözerek Outlook, FoxMail ve Thunderbird gibi e -posta istemcilerinden verileri hedefler.
Chrome, Firefox, Brave, Vivaldi ve Microsoft Edge dahil olmak üzere 30’dan fazla tarayıcıdan otomatik doldurma verilerini, kredi kartı ayrıntılarını, indirmeleri, en iyi siteleri ve çerezleri çalmak için erişimini genişletir.
Anti-bot, bilinen sanalbox IP adreslerine karşı kontrol ederken, eksfiltrasyon SMTP, FTP veya Telegram gibi yapılandırılabilir kanallar aracılığıyla gerçekleşir.
Konfigürasyon çıkarma, Des-şifreli SMTP kimlik bilgilerini gösterir, ECB-modu şifreleme için MD5 türevi anahtarlardan yararlanan Python komut dosyaları kullanılarak, sunucu “mail.htcp.homes”, bağlantı noktası 587 ve “[email protected]” gibi e-posta uç noktalarını gösterir.
Özel bir Yara kuralı, Cassandra Protector’un şaşkınlığını, yüksek entropi bölümlerine sahip .NET örneklerini, System.Drawing.Bitmap ve Yansıtıcı Desenler gibi belirli kütüphaneleri işaretler.

Bu derin dalış, kötü amaçlı yazılımların işlem enjeksiyonu için NTCreateUserProcess, hariç tutma için güç (örneğin, ekleme-mpprefure-eksclusionpath) ve schtasks.exe gibi sistem çağrılarına güveninin altını çizer.
Savunucular, saptırılmış yapılandırmalar ve Yara kuralları da dahil olmak üzere sağlanan istihbarat elde edebilir.
Kampanya, hedeflenen sektörlerde kimlik bilgisi hırsızlığı taktiklerini vurgulayarak, bu tür tehditlere karşı koymak için gelişmiş e -posta filtreleme, davranışsal analitik ve çalışma zamanı izleme ihtiyacını vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
Tip | Gösterge |
---|---|
Dosya adı | TEKLİF İSTEĞİ – TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe |
SHA256 | 0cb819d32cb3a2f218c5a17c02bb8c06935e926bacf1e40a746b01e960c68e4 |
Montero | 3C9CDFF85962249A967B3827E3EDB4ACB710DC0E33088C619342E2CE6DF3BFBC |
VJFV | 82fa8156e9d4fb47cd20908818b9172f86ed13eb683041658f242c58ce0a9cff |
JVF4P | 2859B8700FC6111C40B806D114C43E2E3B4FAA536EEAB57D604818562905B911 |
Esir | 11F577C6B6AF304332D47FBA2122ffb193e81378662eaa7093be971107d89d6 |
SMTP | Sunucu: mail.htcp.homes; Liman: 587; E -posta: [email protected] |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now