Sofistike tehdit aktörleri giderek daha karmaşık saldırı metodolojileri geliştirirken siber güvenlik ortamı yeni tehditlerle karşı karşıya kalmaya devam ediyor.
TA585 olarak adlandırılan yeni tanımlanan bir siber suçlu grubu, kötü amaçlı yazılım dağıtımına yönelik yenilikçi yaklaşımı ve gelişmiş web enjeksiyon teknikleri nedeniyle önemli bir endişe kaynağı olarak ortaya çıktı.
Bu tehdit aktörü, altyapı yönetiminden kötü amaçlı yazılım dağıtımına kadar tüm bir saldırı zincirini bağımsız olarak yönetiyor ve bu da onu üçüncü taraf hizmetlerine dayanan tipik siber suç operasyonlarından farklı kılıyor.
TA585 öncelikli olarak uzaktan erişim truva atı, hırsız ve yükleyici olarak hizmet veren gelişmiş, çok işlevli bir kötü amaçlı yazılım olan MonsterV2’yi kullanıyor.
Yeraltı forumlarında maliyeti ayda 800 ila 2000 dolar arasında değişen kötü amaçlı yazılım, siber suçların profesyonelleştiğini gösteriyor ve mevcut ortamda birinci sınıf bir tehdidi temsil ediyor.
.webp)
MonsterV2, Bağımsız Devletler Topluluğu ülkelerindeki sistemlere bulaşmayı önler ve tespit edilmekten kaçınmak için birden fazla gizleme katmanı içerir.
Tehdit aktörü, hedeflenen kurbanlara kötü amaçlı yazılım sunmak için güvenliği ihlal edilmiş meşru web sitelerini kullanan benzersiz bir web enjeksiyon kampanyası kullanıyor.
Üçüncü taraf trafik dağıtım sistemlerine dayanan diğer birçok siber suç operasyonundan farklı olarak TA585, gerçek kullanıcıların kötü amaçlı yükü almasını sağlamak için kendi filtreleme mekanizmalarını yönetir.
Proofpoint araştırmacıları, bu karmaşık operasyonu Nisan 2025’te tespit etti ve başlangıçta gözlemlenen etki alanı modellerine ve altyapı özelliklerine dayanarak “CoreSecThree” adı altında izledi.
Araştırmacılar, oyuncunun Lumma Stealer’ı teslim etmesinden Mayıs 2025’in başlarında MonsterV2 dağıtımına geçişine kadar olan evrimini kaydetti.
Gelişmiş Web Enjeksiyonu ve ClickFix Tekniğinin Uygulanması
TA585, MonsterV2 yükü için dağıtım vektörleri olarak güvenliği ihlal edilmiş yasal web sitelerini kullanarak, web enjeksiyon metodolojisinde dikkate değer bir gelişmişlik sergilemektedir.
Saldırı, tehdit aktörlerinin savunmasız web sitelerine kötü amaçlı JavaScript enjekte etmesi ve kullanıcılara “İnsan olduğunuzu doğrulayın” mesajları olarak adlandırılan sahte CAPTCHA doğrulama istemleri sunan bir yer paylaşımı sistemi oluşturmasıyla başlıyor.
.webp)
Web enjeksiyon tekniği, ilk olarak güvenlik araştırmacıları tarafından Haziran 2024’te belgelenen ClickFix metodolojisinin değiştirilmiş bir versiyonundan yararlanır.
Bu yaklaşım, kullanıcıları sosyal mühendislik yoluyla PowerShell komutlarını yürütmeye yönlendirerek meşru bir doğrulama süreci gibi görünen bir şey sunar.
Kötü amaçlı komut dosyası, kullanıcılardan gelen Windows+R tuş birleşimlerini izleyerek kullanıcı eylemlerine gerçek zamanlı yanıt veren reaktif bir web ortamı oluşturur.
Saldırı zinciri uygulaması, yük tesliminden önce birden fazla sistem parametresini kontrol eden gelişmiş filtreleme mekanizmaları içerir.
Güvenliği ihlal edilen web sitesi, PowerShell betiği yürütmeyi başarıyla tamamlayana ve kötü amaçlı yazılım aynı IP adresinden komut ve kontrol sunucusuyla iletişim kurana kadar sürekli olarak tehdit aktörünün altyapısına işaret vererek “Erişim reddedildi” mesajlarıyla yanıt verir.
Bu doğrulama gerçekleştiğinde, kullanıcılar “doğrulandı=doğru” parametresiyle meşru web sitesine yönlendirilir ve normal gezinme davranışı yanılsaması korunur.
Teknik uygulama, güvenliği ihlal edilmiş sitelerde dinamik katmanlar oluşturan JavaScript kodunu içerir: –
// Example TA585 JavaScript injection pattern
function verifyHuman() {
// Creates fake CAPTCHA overlay
displayVerificationPrompt();
// Monitors for Win+R execution
monitorKeystrokes();
// Beacons to command server
sendBeaconRequest();
}Yük dağıtım mekanizması, MonsterV2’yi doğrudan aktör kontrollü altyapıdan indirip çalıştıran PowerShell komutlarını kullanır.
Kötü amaçlı yazılım, SeDebugPrivilege, SeTakeOwnershipPrivilege ve SeIncreaseBasePriorityPrivilege gibi izinler talep eden ayrıcalık yükseltme girişimleri de dahil olmak üzere birden fazla teknik aracılığıyla kalıcılık sağlıyor.
MonsterV2, tehdit avlama faaliyetleri için etkili bir gösterge görevi gören “Mutant-” formatını kullanan benzersiz bir muteks oluşturma sistemi uygular.
Kötü amaçlı yazılım yapılandırması, güvenli komuta ve kontrol iletişimleri için yerleşik LibSodium kitaplıklarıyla ChaCha20 şifrelemesini kullanıyor ve bu da modern kötü amaçlı yazılım yazarlarının kullandığı gelişmiş şifreleme uygulamalarını gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
