Tehlikeli bir uzaktan erişim truva atı olan MoonPeak’i dağıtmak için aldatıcı LNK kısayol dosyalarını kullanan, Windows kullanıcılarını hedef alan yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı.
XenoRAT’ın bir çeşidi gibi görünen bu kötü amaçlı yazılımın, Kuzey Kore’ye bağlı tehdit aktörleriyle bağlantısı olduğu belirlendi.
Saldırı öncelikle Güney Koreli yatırımcıları ve kripto para tüccarlarını, ticaret stratejileriyle ilgili meşru PDF belgeleri olarak gizlenen silahlandırılmış dosyalar aracılığıyla hedef alıyor.
Kurbanlar kötü amaçlı LNK dosyasını açtığında, bu dosya, şüpheyi önlemek için sahte bir PDF görüntülerken kötü amaçlı yazılımı dağıtan karmaşık bir enfeksiyon zincirini tetikliyor.
Kampanya ilk olarak Ocak 2026’da yatırımla ilgili içerik öneren Kore dosya adlarını içeren LNK dosyalarıyla tespit edildi.
Bu dosyalar, tıklandığında normal şekilde açılan XOR kodlu bir PDF içerir ve bu da saldırının şüphelenmeyen kullanıcılar için zararsız görünmesini sağlar.
Ancak perde arkasında, gizlenmiş bir PowerShell betiği gizli bir pencerede sessizce yürütülür.
Bu komut dosyası, virüslü sistemde kalıcılık oluşturarak ve saldırganlar tarafından kontrol edilen uzak sunucularla iletişim kurarak yük dağıtımının birden fazla aşamasını başlatır.
IIJ Security Diary analistleri, bu tehdidi ayrıntılı kötü amaçlı yazılım analizi yoluyla tespit ederek, daha önceki raporlarda tam olarak belgelenmeyen enfeksiyon akışının tamamını ortaya çıkardı.
.webp)
Araştırmacılar, saldırı altyapısının izini kötü amaçlı yükleri barındırmak için kullanılan GitHub depolarına kadar sürdü ve bu da tehdit aktörlerinin tespitten kaçınmak için meşru platformları kullandığını ortaya koydu.
.webp)
Güvenilir Siteler Dışında Yaşamak (LOTS) olarak bilinen bu teknik, saldırganların genellikle şüpheli alanları engelleyen güvenlik önlemlerini atlamasına olanak tanır.
Çok Aşamalı Enfeksiyon Mekanizması ve Kaçınma Taktikleri
MoonPeak enfeksiyon süreci, her biri güvenlik analizinden kaçmak ve kalıcı erişim sağlamak için tasarlanmış üç farklı aşamadan geçiyor.
İlk aşamada LNK dosyası, IDA Pro, Wireshark, OllyDbg gibi çalışan belirli işlemleri ve çeşitli sandbox göstergelerini tarayarak güvenlik araçlarını ve sanal ortamları kontrol eder.
Herhangi bir analiz aracı tespit edilirse, araştırmacıların davranışını incelemesini engellemek için komut dosyası derhal sonlandırılır. Bu anti-analiz tekniği, kötü amaçlı yazılımın yalnızca gerçek kurban sistemlerde çalışmasını sağlar.
Ortam denetimi başarılı olduktan sonra, PowerShell betiği geçici dizinde rastgele adlandırılmış klasörler ve dosyalar oluşturarak uzak sunuculardan ek betikler indirir.
.webp)
Daha sonra, sistem yeniden başlatıldıktan sonra bile kötü amaçlı yazılımın otomatik olarak çalışmasını sağlamak için zamanlanmış bir görev oluşturulur.
İkinci aşama, GZIP ile sıkıştırılmış bir yükün GitHub deposundan alınmasını içerir; bu veri, sıkıştırılmış hali açılır ve diske dokunmadan doğrudan belleğe yüklenir.
.webp)
Son aşamada, derlemeye ve analize direnmek için ConfuserEx kullanılarak karartılmış MoonPeak’in kendisi dağıtılır. Kötü amaçlı yazılım, 27.102.137 adresinden komuta ve kontrol sunucusuna bağlanıyor[.]88:443, saldırganların virüslü makineleri uzaktan kontrol etmesini sağlıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
