Siber güvenlik araştırmacıları, koordineli bir hedef odaklı kimlik avı kampanyasının ayrıntılarını açıkladı. PhantomCaptcha Komuta ve kontrol için WebSocket kullanan bir uzaktan erişim truva atı yaymak amacıyla Ukrayna’nın savaş yardım çabalarıyla bağlantılı kuruluşları hedef alıyor (C2).
SentinelOne, 8 Ekim 2025’te gerçekleştirilen faaliyetin Uluslararası Kızıl Haç, Norveç Mülteci Konseyi, Birleşmiş Milletler Çocuklara Yardım Fonu (UNICEF) Ukrayna ofisi, Norveç Mülteci Konseyi, Avrupa Konseyi Ukrayna Hasar Kaydı üyelerini ve Donetsk, Dnipropetrovsk, Poltava ve Mikolaevsk bölgelerindeki Ukrayna bölgesel hükümet idarelerini hedef aldığını söyledi. bugün yayınlanan yeni bir raporda.
Kimlik avı e-postalarının, tıklandığında kurbanları sahte bir Zoom sitesine (“zoom konferansı”) yönlendiren gömülü bir bağlantı içeren, bubi tuzaklı bir PDF belgesi taşıyan, Ukrayna Cumhurbaşkanlığı Ofisi’nin kimliğine büründüğü tespit edildi.[.]app”) ve tarayıcı kontrolü kisvesi altında ClickFix tarzı sahte Cloudflare CAPTCHA sayfası aracılığıyla kötü amaçlı bir PowerShell komutu çalıştırmaları için onları kandırır.
Sahte Cloudflare sayfası, saldırgan tarafından kontrol edilen bir sunucuyla WebSocket bağlantısı kurarak aracı görevi görüyor ve WebSocket sunucusu eşleşen bir tanımlayıcıyla yanıt verirse tarayıcının kurbanı meşru, parola korumalı bir Zoom toplantısına götürmesiyle JavaScript tarafından oluşturulan bir clientId iletiyor.
SentinelOne, soruşturması sırasında tehdit aktörlerinin bu saldırı hattını etkinleştirdiğini gözlemlemediğini belirtmesine rağmen, bu enfeksiyon yolunun muhtemelen mağdurlarla yapılan canlı sosyal mühendislik görüşmeleri için ayrıldığından şüpheleniliyor.
Windows Çalıştır iletişim kutusuna yapıştırıldıktan sonra yürütülen PowerShell komutu, öncelikle uzak bir sunucudan ikinci aşama yükünün alınmasından ve yürütülmesinden sorumlu olan karmaşık bir indiriciye yol açar. Bu ikinci aşamadaki kötü amaçlı yazılım, tehlikeye atılan ana bilgisayarı keşfeder ve onu aynı sunucuya gönderir; sunucu da daha sonra PowerShell uzaktan erişim truva atıyla yanıt verir.
Güvenlik araştırmacısı Tom Hegel, “Nihai yük, Rusya’ya ait altyapı üzerinde barındırılan ve keyfi uzaktan komut yürütmeye, veri sızmasına ve ek kötü amaçlı yazılımların potansiyel olarak dağıtılmasına olanak tanıyan bir WebSocket RAT’tır” dedi. “WebSocket tabanlı RAT, uzaktan komut yürütme arka kapısıdır; etkin bir şekilde operatöre ana makineye isteğe bağlı erişim sağlayan uzak bir kabuktur.”
Kötü amaçlı yazılım, “wss://bsnowcommunications” adresinden uzak bir WebSocket sunucusuna bağlanıyor[.]com:80″ ve Invoke-Expression ile yürütülecek veya bir PowerShell yükünü çalıştıracak bir komut içeren Base64 kodlu JSON mesajlarını alacak şekilde yapılandırılmıştır. Yürütmenin sonuçları daha sonra bir JSON dizesinde paketlenir ve WebSocket üzerinden sunucuya gönderilir.
VirusTotal gönderimlerinin daha ayrıntılı analizi, 8 sayfalık silah haline getirilmiş PDF’nin Ukrayna, Hindistan, İtalya ve Slovakya dahil olmak üzere birden fazla yerden yüklendiğini belirledi; bu da muhtemelen geniş hedeflemeye işaret ediyor.
SentinelOne, kampanya hazırlıklarının 27 Mart 2025’te saldırganların “goodhillsenterprise” alan adını kaydettirmesiyle başladığını kaydetti.[.]com”, gizlenmiş PowerShell kötü amaçlı yazılım komut dosyalarına hizmet etmek için kullanıldı. İlginç bir şekilde, “zoom konferansı” ile ilişkili altyapı[.]App” uygulamasının 8 Ekim’de yalnızca bir gün aktif olduğu söyleniyor.
Şirket, bunun “sofistike planlama ve operasyonel güvenliğe güçlü bağlılık” anlamına geldiğini belirterek, “prenses-mens” alanında barındırılan sahte uygulamaları da ortaya çıkardığını da sözlerine ekledi.[.]Güvenliği ihlal edilmiş Android cihazlardan coğrafi konum, kişiler, çağrı günlükleri, medya dosyaları, cihaz bilgileri, yüklü uygulamalar listesi ve diğer verileri toplamayı amaçlayan “tıklama”.
Kampanya, bilinen herhangi bir tehdit aktörü veya grubuyla ilişkilendirilmemiştir; ancak ClickFix’in kullanımı, Rusya bağlantılı COLDRIVER bilgisayar korsanlığı grubu tarafından yakın zamanda açıklanan saldırılarla örtüşmektedir.
SentinelOne, “PhantomCaptcha kampanyası, kapsamlı operasyonel planlama, bölümlere ayrılmış altyapı ve kasıtlı teşhir kontrolü sergileyen oldukça yetenekli bir düşmanı yansıtıyor.” dedi.
“İlk altyapı kaydı ile saldırının yürütülmesi arasındaki altı aylık süre ve ardından arka uç komuta ve kontrolünü sürdürürken kullanıcının karşılaştığı etki alanlarının hızlı bir şekilde devre dışı bırakılması, operatörün hem saldırı amaçlı ticari araçlarda hem de savunma tespitinden kaçınma konusunda oldukça bilgili olduğunun altını çiziyor.”