Su laneti olarak bilinen yeni tanımlanmış bir tehdit aktörü, çok aşamalı kötü amaçlı yazılımlarla dolu silahlı depoları dağıtmak için en az 76 GitHub hesap kullanan genişleyen bir kampanyaya bağlanmıştır.
Bu finansal olarak motive edilen grup, siber güvenlik profesyonelleri, kırmızı ekipler, penetrasyon testçileri, oyun geliştiricileri ve DevOps personeli de dahil olmak üzere çeşitli kurbanları hedeflemek için açık kaynaklı platformlara doğal olan güvenden yararlanmaktadır.
Onların sofistike saldırı metodolojisi, küresel olarak teknik topluluklar tarafından geniş çapta güvenilen bir platform olan GitHub’da barındırılan meşru araç ve senaryolara kötü niyetli yükleri yerleştirerek önemli bir tedarik zinciri riski oluşturmaktadır.
.png
)
Sofistike tedarik zinciri saldırısı
İlk olarak Mayıs 2025’te tespit edilen ancak Mart 2023’e kadar uzanan izler olan Su Laneti kampanyası, GitHub’ın depo arşivleme hizmeti aracılığıyla trojanize edilmiş açık kaynaklı proje dosyalarının indirilmesiyle başlayan karmaşık bir enfeksiyon zinciri kullanıyor.
SMTP e-posta bombacısı ve Sakura-Rat gibi penetrasyon testi yardımcı programları olarak maskelenen araçlar, Visual Studio proje yapılandırmalarında kötü amaçlı kod gizleyin.
Derleme sırasında yürütme üzerine, bu yükler Visual Basic Script (VBS) ve PowerShell’de çok aşamalı bir saldırı başlatan bir dizi gizlenmiş komut dosyasını tetikler.
Kötü amaçlı yazılım, şifrelenmiş arşivleri indirir, searchfilter.exe gibi elektron tabanlı uygulamaları çıkarır ve anti-debugging önlemleri kullanırken kapsamlı sistem keşifleri, UAC bypass ile ayrıcalık artışı ve kalıcılık mekanizmalarını planlı görevler ve kayıt defteri modifikasyonları yoluyla kullanır.
Bu karmaşık işlem, enfekte olmuş sistemlere uzun süreli erişim sağlar, tarayıcı kimlik bilgileri, GitHub ve ChatGPT gibi platformlardan oturum jetonları ve sistem profil oluşturma verileri gibi hassas bilgilerin verilerinin verimini sağlar.
Çok aşamalı enfeksiyon zinciri
Water Curse’un teknik gücü, yüksek uyarlanabilirlik ve çapraz fonksiyonel gelişim yeteneklerini sergileyen PowerShell, JavaScript, C#ve derlenmiş ikili dosyalar da dahil olmak üzere çeşitli programlama dillerini ve araçlarını kullanımında belirgindir.
Trend Micro Report’a göre, taktikleri Windows Defender’ı devre dışı bırakma, sistem kurtarmayı bozmak için gölge kopyalarını silme ve komut ve kontrol (C&C) iletişim ve veri söndürme için Telegram ve GoFile gibi meşru hizmetlerin kullanılması yer alıyor.
Grubun depoları, siber güvenlik araçlarının ötesine, oyun hileleri, kripto cüzdan kamu hizmetleri ve kimlik bilgisi sığınaklarını içerecek şekilde, tedarik zinciri uzlaşması ve fırsatçı sömürü hibrit bir stratejisini yansıtır.
Bu geniş hedefleme, gizli otomasyon ve ölçeklenebilir altyapı ile birleştiğinde, kimlik bilgisi hırsızlığı, oturum kaçırma ve yasadışı erişim yeniden satışını amaçlayan gevşek organize veya hizmet odaklı siber suç modeli önermektedir.
Bu kampanyanın sonuçları derindir ve meşru kırmızı ekip araçları ile aktif kötü amaçlı yazılım arasındaki çizgileri bulanıklaştıran geliştirici odaklı bilgi çalmalarının artan eğilimini vurgulamaktadır.
Kuruluşlar, entegrasyondan önce açık kaynaklı araçları titizlikle denetlemeye, oluşturma komut dosyalarını doğrulamaya ve depo geçmişlerini incelemeye çağırır.
Trend Micro’nun Vision One ve Yönetilen Tespit ve Yanıt (MDR) hizmetleri gibi çözümler, bu tehditlerin tespit edilmesi ve analiz edilmesi, kritik telemetri ve tehdit avcılık yetenekleri sunmada çok önemlidir.
Su laneti GitHub gibi platformlara olan güvenden yararlandıkça, geliştiriciler ve güvenlik ekipleri arasında gelişmiş güvenlik farkındalığı ve doğrulama uygulamaları, bu tür ileri tedarik zinciri saldırılarından kaynaklanan riskleri azaltmak için gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin