Kalıcı bir tehdit grubu olan Water Gamayun, yakın zamanda Windows sistemlerinde yeni tanımlanan MSC EvilTwin güvenlik açığından (CVE-2025-26633) yararlanarak çabalarını yoğunlaştırdı.
Bu kötü amaçlı yazılım kampanyası, hassas bilgileri ve kimlik bilgilerini çalmayı ve ağlara uzun vadeli erişimi sürdürmeyi amaçlayan, kurumsal ve devlet kuruluşlarını hedef alan çok aşamalı saldırıların kullanılmasıyla öne çıkıyor.
2025’te ortaya çıkacak bu saldırılar, modern güvenlik kontrollerini atlamak ve kullanıcılara sahte iş belgeleri gibi ikna edici tuzaklar sunmak için güvenilir ikili dosyalardan yararlanmak ve derin gizleme gibi karmaşık taktikleri birleştiriyor.
Saldırı, bir kullanıcının web aramasının güvenliği ihlal edilmiş bir siteye ulaşmasıyla başlar. Web sitesi kurbanı sessizce benzer bir alana taşıyor ve PDF olarak gizlenmiş (“hiringassistant.pdf.rar” kılığına girmiş) kötü amaçlı bir RAR dosyası sunuyor.
.webp)
Kullanıcı bu dosyayı açtığında, yerleşik veri, hazırlanmış bir .msc dosyasını bırakarak MSC EvilTwin güvenlik açığından yararlanır. Bu dosya, TaskPad ek bileşen komutlarının kötüye kullanılması yoluyla gizli PowerShell komutlarını tetikleyen mmc.exe tarafından yüklenir.
Zscaler güvenlik analistlerinin tespit ettiği gibi, kampanyanın benzersiz yaklaşımı, izlerini hem kullanıcılardan hem de otomatik tespit araçlarından gizlemek için bir dizi şifre korumalı arşivi, pencere gizleme kodunu ve aşamalı yük yürütmeyi birleştiriyor.
Zscaler araştırma ekibi bu kampanyayı, EvilTwin güvenlik açığının nadiren kötüye kullanılması, özel PowerShell gizlemesi ve şüpheyi azaltmak için sahte belgelerin kullanılması da dahil olmak üzere birçok güçlü işaret nedeniyle Water Gamayun’a bağladı.
Analizleri, kötü amaçlı yazılım zincirinin ilk dayanağı oluşturduktan sonra indirilebilir yürütülebilir dosyalardan, arşiv çıkarmadan ve işlem enjeksiyonundan yararlanarak erişimini genişlettiğini ortaya çıkardı.
Çok Aşamalı Yük ve Gizli Yürütme
Water Gamayun’un metodolojisinin temelinde katmanlı bir enfeksiyon süreci yer alıyor. Gizlenmiş RAR dosyası açıldıktan sonra veri, diske bir .msc dosyası yazar.
Yürütüldüğünde, mmc.exe, bu dosyayı kötü amaçlı ek bileşen verilerini kullanarak yorumlayarak kodlanmış PowerShell’i TaskPad aracılığıyla çalıştırır. İlk aşama olan PowerShell betiği, UnRAR.exe gibi meşru araçları indirir, ardından ek yükler içeren parola korumalı arşivlere erişir.
Bu komut dosyaları aşağıdaki gibi komutları yürütür: –
-EncodedCommand JABX… | iexİkinci aşamadaki komut dosyası, kötü amaçlı yazılım pencerelerini görünümden gizlemek için bir .NET modülü derler, sahte bir PDF çalıştırır ve son yükleyici yürütülebilir dosyası olan ItunesC.exe’yi bırakır. Bu yükleyici, birden fazla örneği başlatarak ve ağ işaretlerini harici IP’lere gizleyerek uzun vadeli kalıcılığa olanak tanır.
Kampanya, gelişmiş gizleme ve çok aşamalı yürütmenin tespitten nasıl kaçabileceğini vurgulayarak, savunmacıların nadir dosya uzantılarını, kodlanmış PowerShell kullanımını, şüpheli süreç zincirlerini ve benzer altyapıdaki ağ etkinliğini izlemesini zorunlu hale getiriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
