Süvari Kurtadam olarak bilinen ve aynı zamanda YoroTrooper ve Silent Lynx olarak da takip edilen gelişmiş bir kalıcı tehdit grubu, Mayıs ayından Ağustos 2025’e kadar Rusya’nın kamu sektörünü ve enerji, madencilik ve imalat gibi hayati endüstrileri hedef alan karmaşık bir saldırı kampanyası yürüttü.
Koordineli saldırı, hedef odaklı kimlik avı için güvenilir ilişkilerden yararlandı ve özel, çok dilli bir kötü amaçlı yazılım cephaneliği dağıttı; bu da Süvari Kurtadam’ı bu yılın en uyarlanabilir ve tehlikeli APT ekiplerinden biri haline getirdi.
Süvari Kurtadam’ın ilk uzlaşması, öncelikle Kırgız devlet kurumlarının resmi iletişimleri gibi görünen hedef odaklı kimlik avı e-postalarına dayanıyor.
Saldırganlar, Ekonomi ve Ticaret Bakanlığı ya da Ulaştırma ve Haberleşme Bakanlığı gibi bakanlıklardan sahte adresler hazırladı, hatta bazen gerçek resmi hesapları ele geçirdi.
Grup, kimliğe bürünme ile doğrudan uzlaşma arasındaki çizgiyi bulanıklaştırarak güvenilirliği en üst düzeye çıkardı.
Tipik kimlik avı tuzakları arasında, “ortak operasyonların üç aylık sonuçları” veya “ikramiye alacak çalışanların kısa listesi” gibi meşru belgeler olarak gizlenen RAR arşivleri yer alıyordu.
Kurbanlar arşivlerde ya bir ters kabuk arka kapısı olan FoalShell’i ya da bir uzaktan erişim truva atı olan StallionRAT’ı buldu. Bu kötü amaçlı yazılım aileleri, Süvari Kurt Adam’ın uzun vadeli kontrolü ele geçirme taktiklerinin merkezinde yer alıyor.
Kaynak okunur, VirtualAlloc kullanılarak RWE (Okuma, Yazma, Yürütme) izinleriyle bellek ayrılır ve kabuk kodu yürütülür.
Savunmacılar için çok önemli bir tespit ipucu: Belge benzeri adlara sahip arşivlerin oluşturulmasını izleyin. %LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook dizin, Microsoft Outlook aracılığıyla indirilen dosyalar için iyi bilinen bir depo.
FoalShell ve StallionRAT
FoalShell: Tasarımdan Gelen Çok Yönlülük
FoalShell, C#, C++ ve Go ile yazılmış varyantlara sahip kompakt bir ters kabuktur. Temel hedefi, saldırganlara virüs bulaşmış ana bilgisayarlarda gizli bir ağ aracılığıyla güvenilir komut satırı erişimi sağlamaktır. cmd.exe işlem.
- C# Sürümü: Komuta ve kontrole (C2) bağlanan kalıcı bir döngü uygular.
188.127.225.191:443gizli pencerelerde komut istemlerini çalıştırırken komut ve çıktı akışlarını yeniden yönlendirme. - C++ Varyantı: Kaynakların içinde gizlenmiş bir kabuk kodu yükleyicisi kullanır. Kod, C2’ye bağlanan kabuk kodunu yükler ve çalıştırır.
109.172.85.63ve saldırgan etkileşimi için gizli bir komut istemi başlatır. - Uygulamaya Geç: C2’ye bağlanır
62.113.114.209:443yine koşuyorumcmd.exegörünmez bir şekilde, esneklik için Go’nun ağ yığınından yararlanıyor.
Tehdit avlama kılavuzu: Şüphelilere dikkat edin cmd.exe geçici dizinlerdeki veya sıra dışı kökene sahip işlemler tarafından oluşturulan örneklerin yanı sıra birden fazla sistem keşif rutinini hızlı bir şekilde arka arkaya yürüten işlemler.
StallionRAT: Telegram Kontrollü Casusluk
StallionRAT, Go, PowerShell ve Python’da uygulanan, benzersiz bir yeteneğe sahip, zengin özelliklere sahip bir Uzaktan Erişim Truva Atı’dır: Birçok geleneksel ağ savunmasını atlayarak komuta ve kontrol için Telegram botlarından yararlanır.
- PowerShell Varyantı: Bir C++ damlalığı kullanılarak konuşlandırılan bu yazılım, güvenlik yazılımının kötü niyetli niyetini gizlemek için Base64 kodlu komutları yürütür.
- Operasyonlar: StallionRAT, güvenliği ihlal edilmiş ana bilgisayarları listelemek, cihaz başına isteğe bağlı komutlar yürütmek ve dosyaları aktarmak için Telegram mesajlarını ayrıştırır (genellikle yükleri cihazda gizler).
C:\Users\Public\Libraries.
Kalıcılık, kayıt defteri Çalıştırma anahtarları aracılığıyla elde edilirken, uzlaşma sonrası operasyonlar, harici trafiği tünellemek için ReverseSocks5Agent (SOCKS5 proxy oluşturma) gibi araçların, gözlemlenen C2 bağlantıları ile dağıtılmasını içerir. 96.9.125.168:443 Ve 78.128.112.209:10443. Keşif teknikleri gibi komutları içeriyordu ipconfig, netstat, whoamiVe net user /dom.
Savunucular, kullanımı ilişkilendirmelidir. -EncodedCommand PowerShell’deki parametre, monitör C:\Users\Public\Libraries yeni bırakılan ikili dosyalar için ve şüpheli kayıt defteri kalıcılığını izleyin.
Göstergeler, hedeflemenin Rusça konuşan kuruluşların ötesinde olası bir genişlemeyi ortaya koyuyor. Tacikçe dosyalar ve Arapça masaüstü eserleri, Tacikistan’a ve Orta Doğu’nun bazı bölgelerine yönelik aktif keşif veya deneme saldırıları yapıldığını gösteriyor. Ek olarak, AsyncRAT’ın izleri devam eden araç seti çeşitliliğine işaret ediyor.
Savunma ve Öneriler
Süvari Kurtadam’ın harekâtı, modern APT’lerin artan teknik ve operasyonel karmaşıklığının bir örneğidir.
Çok dilli özel kötü amaçlı yazılımları, Telegram tabanlı C2’yi ve güveni kötüye kullanan hedef odaklı kimlik avını ustalıkla kullanmaları, savunucular için zorlu bir zorluk teşkil ediyor.
- Beklenmedik veya resmi olmayan yazışmaların sıkı bir şekilde doğrulanmasını zorunlu kılın.
- Personelinizi yalnızca görünen adları değil, e-posta başlıklarını da derinlemesine kontrol etmeleri konusunda eğitin.
- Kodlanmış PowerShell için gelişmiş EDR/XDR izlemeyi dağıtın, anormal
cmd.exehiyerarşiler ve kayıt defteri Anahtar işlemlerini çalıştırın. - Bilinen proxy araçlarını işaretleyin ve özellikle C2 adresleri ve sistem keşif araçlarını içeren yanal hareket göstergelerini izleyin.
- FoalShell C2’ler: 188.127.225.191:443, 109.172.85.63, 62.113.114.209:443
- AygırRAT/Proxy: 96.9.125.168:443, 78.128.112.209:10443
- Anahtar yollar:
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook,C:\Users\Public\Libraries - Kayıt:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Süvari Kurtadam’ın saldırılarına uyum sağlaması ve genişletmesi nedeniyle bu tür çok vektörlü tehditlere karşı tetikte olmak çok önemlidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.