Tor tabanlı altyapı aracılığıyla gizli uzaktan erişim sağlayan, karmaşık, çok aşamalı bir enfeksiyon zinciri uygulayan, Rusya ve Beyaz Rusya’daki askeri personeli hedef alan karmaşık bir kampanya ortaya çıktı.
SkyCloak Operasyonu, güvenliği ihlal edilmiş sistemlerde kalıcılığı korurken iletişim kanallarını maskelemek için meşru OpenSSH ikili dosyalarını ve obfs4 köprülerini kullanan, Rus Hava Kuvvetleri ve Belarus Özel Kuvvetlerine yönelik gizli odaklı bir saldırı girişimini temsil ediyor.
Saldırı, resmi askeri belgeler gibi görünen, çift uzantılarla gizlenmiş kısayol dosyalarını içeren kimlik avı arşivleriyle başlıyor.
İlk yem, Ussuriysk’te konuşlanmış 83. Ayrı Muhafızlar Havadan Saldırı Tugayı’na atıfta bulunan 71289 Askeri Biriminden gelen adaylık mektubunu taklit ediyor.
İkinci tuzak, Minsk yakınlarındaki 5. Ayrı Spetsnaz Tugayı olan Askeri Birim 89417’ye yönelik eğitim bildirimleri taşıyan Belarus Özel Kuvvetleri personelini hedef alıyor.
Dikkatlice hazırlanmış bu belgeler, 15 Ekim ile 21 Ekim tarihleri arasında Belarus’tan yüklenen arşiv dosyalarıyla Eylül 2025’in sonlarında silah haline getirildi.
Kısayol dosyaları yürütüldükten sonra karmaşık bir damlalık mekanizması başlatan PowerShell komutlarını tetikler.
Kötü amaçlı yazılım, iç içe geçmiş arşiv dosyalarını aşağıdaki gibi şifreli adlandırma şemalarına sahip dizinlere çıkarır: %APPDATA%\dynamicUpdatingHashingScalingContext Ve %USERPROFILE%\Downloads\incrementalStreamingMerging.
Çok aşamalı çıkarma işlemi, yükleri aşağıdakiler de dahil olmak üzere gizli klasörlere dağıtır: $env:APPDATA\logicpro veya $env:APPDATA\reaperbirden çok yürütülebilir dosya, XML yapılandırma dosyası, yanıltıcı PDF’ler ve destekleyici DLL’ler içerir.
.webp)
Seqrite analistleri, bu saldırıyı Rus savunma altyapısını hedef alan daha geniş bir operasyon modelinin parçası olarak tanımladı ve HollowQuill ve CargoTalon gibi önceki saldırılarla benzerliklere dikkat çekti.
Araştırmacılar, kötü amaçlı yazılımın, Windows En Son klasöründe ondan fazla kısayol dosyasının varlığını doğrulayarak meşru kullanıcı etkinliğini kontrol etmek ve yürütmeye devam etmeden önce işlem sayısının 50’yi aşmasını sağlamak da dahil olmak üzere, sanal alan tespitinden kaçınmak için gelişmiş anti-analiz teknikleri kullandığını gözlemledi.
PowerShell Yürütme ve Kalıcılık Mekanizmaları
PowerShell aşaması, güvenliği ihlal edilmiş sistemlere uzun vadeli erişim sağlamak için birden fazla kaçınma ve kalıcılık taktiği uygular.
Komut dosyası, birden fazla örneğin aynı anda çalışmasını önlemek için bir muteks oluşturur ve ardından 2025-09-25T01:41:00-08:00 tarihinden itibaren günlük yürütme tetikleyicilerini oluşturan XML yapılandırma dosyaları aracılığıyla zamanlanmış görevleri kaydeder.
Bu görevler, bilgisayar boştayken, ağ bağlantısı olmadan ve yürütme süresi sınırlaması olmadan bile gizli çalışacak şekilde yapılandırılmıştır.
Kötü amaçlı yazılım, 13 Aralık 2023’te derlenen meşru “Windows için OpenSSH” ikili dosyalarını dağıtıyor: githubdesktop.exe Ve googlemaps.exe SSH arka plan programları olarak ssh-shellhost.exe interaktif oturumlar için libcrypto.dll şifreleme işlevleri için.
Yapılandırma dosyaları, SSH hizmetleri için standart olmayan bağlantı noktası 20321’i belirtir, parola kimlik doğrulamasını devre dışı bırakır ve aşağıdaki gibi karışık adlara sahip dosyaları kullanarak ortak anahtar kimlik doğrulaması gerektirir redundantOptimizingInstanceVariableLogging Ve incrementalMergingIncrementalImmutableProtocol.
Kampanya, 20322 numaralı bağlantı noktasında SSH, 11435 numaralı bağlantı noktasında SMB, 13893 numaralı bağlantı noktasında RDP ve ek özel bağlantı noktaları dahil olmak üzere Tor gizli hizmetleri aracılığıyla birden fazla hizmeti açığa çıkarıyor.
İletişim, obfs4 takılabilir aktarımlar aracılığıyla, adlandırılan ikili dosyaları kullanarak gerçekleşir. confluence.exe Ve rider.exe77.20.116.133:8080 ve 156.67.24.239:33333’teki köprü uç noktalarına bağlanan.
Kötü amaçlı yazılım, şu şekilde biçimlendirilmiş tanımlama işaretleri oluşturur: yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd.onion Kalıcı iletişim kanalları kurulmadan önce kullanılabilir hale gelmek.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
