Fil Gelişmiş Kalıcı Tehdit Grubu, Türk savunma müteahhitlerini hedefleyen, özellikle de hassas kılavuzlu füze sistemleri üreten şirketleri hedefleyen sofistike bir siber-karşıtlık kampanyası başlattı.
Bu kötü niyetli işlem, insansız araç sistemleriyle ilgili meşru konferans davetiyeleri olarak kötü niyetli yükleri akıllıca gizleyen beş aşamalı karmaşık bir yürütme zinciri kullanan grubun yeteneklerinde önemli bir evrimi temsil eder.
Saldırı, İstanbul’da Temmuz 2025’te planlanan bir İHA konferansına davet olarak maskelenen “unmanned_vehicle_systems_conference_2025_in_istanbul.lnk” adlı silahlı bir LNK dosyasıyla başlıyor.
Yürütme üzerine dosya, kötü amaçlı etki alanı ExpouAv’dan birden fazla bileşeni alan PowerShell tabanlı bir indirme dizisi başlatır[.]Meşru konferans web sitesi Waset.org’u taklit eden org.
.webp)
Arctic Wolf araştırmacıları, bu kampanyayı Elephant’ın genişletilmiş hedefleme kapsamını düşürmenin bir parçası olarak belirledi ve grubun geleneksel Güney Asya hedeflerinden nato-mülkü savunma endüstrilerine kaydırılmasını kaydetti.
Zamanlama, artan Türkiye-Pakistan savunma işbirliği ve bölgesel askeri gerilimlerle çakışıyor ve jeopolitik olarak motive edilmiş istihbarat toplama hedeflerini gösteriyor.
Kötü amaçlı yazılım, DLL yan yükleme mekanizmaları aracılığıyla meşru yazılım bileşenlerini, özellikle VLC Media Player’ı ve Microsoft görev zamanlayıcısını kötüye kullanarak sofistike kaçırma tekniklerini gösterir.
Bu yaklaşım, tehdit aktörlerinin kötü niyetli faaliyetleri güvenilir süreçlerle harmanlamasına izin vererek güvenlik çözümlerine göre algılama olasılıklarını önemli ölçüde azaltır.
Gelişmiş kalıcılık ve komut yürütme çerçevesi
Kampanyanın en önemli yenilikleri, kasten gizlenmiş uzantılara sahip beş farklı dosya indiriyor.
PowerShell Yürütme, dahil olmak üzere gizli parametreler kullanır. -ep 1 Yürütme politikası için bypass ve $ProgressPreference="SilentlyContinue" İndirme işlemi sırasında görsel göstergeleri bastırmak için.
Saldırı zinciri, kötü niyetli bir libvlc.dll kütüphanesinin (başlangıçta “göl”) yanında meşru bir VLC Media Player yürütülebilir dosyasını (aslen “Lama” olarak adlandır) indirerek başlar.
Bu DLL, VLC.Log’da depolanan son yükün şifresini çözmekten ve yürütmesinden sorumlu bir Shellcode yükleyici olarak hizmet eder. Şifreleme işlemi, şifrelenmiş kabuk kodunu fonksiyonel bir X86 PE yürütülebilir hale getirmek için sert kodlanmış bir “76BHU93FGRJZX5HJ876BHU93FGRJX5” anahtarı kullanır.
Kalıcılık, komut aracılığıyla oluşturulan planlanmış bir görevle kurulur:-
saps "C:\Windows\Tasks\Winver" -a "/Create", '/sc', 'minute', '/tn', 'NewErrorReport', '/tr', "C:\Windows\Tasks\vlc", '/f';Bu görev, her dakika tehlikeye atılan VLC oynatıcıyı yürütür ve meşru medya oynatıcı etkinliğinin görünümünü korurken sürekli sistem erişimini sağlar.
Son yük, komut ve kontrol sunucusu roseserve ile iletişim kurar[.]Türkiye’nin pardus linux dağıtım web sitesini taklit eden org.
Kötü amaçlı yazılım, birden fazla örneği önlemek için “ghjghkj” adlı bir muteks oluşturur ve ekran görüntüsü yakalama (3SC3), dosya yükleme (3NGJFNG5) ve uzaktan kod yürütme (3GJDFGHJ6) özellikleri dahil olmak üzere yedi farklı komut işleyicisini uygular ve saldırganlara kapsamlı sistem kontrolü sağlar.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi