Kör Kartal veya Apt-C-36 olarak da adlandırılan TAG-144 olarak bilinen tehdit aktörü, Mayıs 2024’ten Temmuz 2025’e kadar çalışan beş ayrı faaliyet kümesiyle bağlantılıdır ve öncelikle yerel, belediye ve federal düzeylerde Kolombiya hükümet kuruluşlarını hedeflemektedir.
En az 2018’den beri aktif olan bu siber tehdit grubu, asycrat, DCRAT, Remcos Rat, Xworm ve Limerat gibi emtia uzaktan erişim truva atları (sıçanlar) yoluyla kimlik gerçeği hırsızlığı ve gözetim üzerine odaklanan siber-ihale ve finansal olarak motive edilmiş taktiklerin sofistike bir karışımını kullanır.
Kümeler, evasion için görüntü dosyalarına kötü niyetli kodları yerleştirmek için steganografi ile birlikte, steganografinin yanında anlaşmazlık, gitithub ve archive.org gibi meşru internet hizmetlerinden (LIS) yararlanan çok aşamalı enfeksiyon zincirleri dahil olmak üzere örtüşen ancak çeşitli taktikler, teknikler ve prosedürler (TTP’ler) gösterir.
Altyapı analizi, sanal özel sunucuların (VPS), Kolombiyalı ISP IP adreslerinin ve Duckdns.org ve noip.com gibi dinamik DNS sağlayıcılarının, Torguard gibi VPN hizmetlerini komut ve kontrol (C2) operasyonlarını dahil eden bazı kümelerle yoğun kullanımını ortaya koymaktadır.
Mağdur verileri, eğitim, sağlık ve enerji gibi sektörlere ek müdahalelerle, TAG-144’ün Güney Amerika’ya, özellikle Kolombiya, Ekvador, Şili ve Panama’ya odaklanmasının altını çizen devlet kurumlarına büyük bir vurgu olduğunu göstermektedir.
Kötü amaçlı yazılım dağıtım stratejileri
TAG-144’ün operasyonel esnekliği, her biri temel TTP’leri korurken benzersiz altyapı ve dağıtım yöntemleriyle uyarlanmış kümeleri arasındaki farklılaşmada belirgindir.
Örneğin, Şubat’tan Temmuz 2025’e kadar aktif olan küme 1, Torguard VPN sunucularına ve statik ördekDNS.org alan adlarına, “Envio16-05.Duckdns.org” gibi DCRAT, Asyncrat ve Remcos sıçanını dağıtmak için “Envio16-05.Duckdns.org” gibi adlandırma modellerine dayanır.
Bu küme, kodlanmış PowerShell komut dosyalarının Archive.org’daki JPG görüntülerinden steganografik olarak gizli yükleri getirdiği ve sıklıkla Brazilian cybercrivinal ekosistemlerden potansiyel işbirliği veya kod yeniden kullanımı eşlik ettiği Steganogrics Guets’lerden gelen yeni LIS kötüye kullanımı getiriyor.
Eylül-Aralık 2024’ü kapsayan küme 2, “pesosdepesoslibras.dickdns.org” gibi İspanyol temalı alanlarla kolokroslama ve vultr barındırmayı içerir ve telgraf kanallarından kaynaklanan ve hükümet, eğitim ve perakende sektörler arasında enfeksiyonlara neden olan çatlamalı asycrat varyantları kullanır.
Bu arada, Cluster 3, Asyncrat ve Remcos dağıtımları için Kolombiyalı ISP UNE EPM’yi kullanır, Cluster 4, kötü amaçlı yazılımları Bancolombia gibi kimlik avı altyapısı taklit eden bankalarla birleştirir ve Cluster 5, limerat ve dinamik alanlar için barındıran Glesys kullanır.
Paylaşılan IP çözünürlükleri ve kurban iletişimleri gibi altyapıdaki örtüşmeler, bu kümeleri TAG-144 kampanyalarının birbirine bağlı yönleri olarak onaylamaktadır.
Tehdit oyuncusu Red Akodon’a, ortak GitHub depoları ve uzatılmış hükümet e-posta hesapları aracılığıyla, TAG-144’ün uyarlanabilir ekosistemini vurgulayarak, açık kaynaklı araçları, hedeflenen bölgelerin dışındaki erişimi kısıtlamak için kalp krizi ve coğrafi-fencing gibi krypters ile harmanlayarak diğer bağlantılar.
Bulanık siber suç çizgileri
TAG-144’ün tehditlerine karşı koymak için güvenlik ekiplerine, ilişkili sıçan C2S’den IP ve etki alanı engellemesini uygulamaları, kötü amaçlı yazılım imzaları için YARA, Sigma ve Snort gibi tespit kurallarını dağıtmaları ve anormal aktivite için LIS bağlantılarını izlemeleri önerilir.
Grubun tehlikeye atılan yönlendiricileri ters vekil olarak kullanması ve yüksek değerli varlıkların sürekli hedeflenmesi göz önüne alındığında, e-posta filtreleme, veri eksfiltrasyon izleme ve sürekli tehdit istihbarat güncellemeleri çok önemlidir.
İleriye baktığımızda, TAG-144’ün Kolombiya hükümet varlıklarına odaklanması, potansiyel olarak gelişmekte olan araçları entegre etmesi ve LIS sömürüsünü genişletmesi ve Güney Amerika’nın gelişen dijital manzarasında siber suç ve casusluk arasındaki çizgileri bulanıklaştırması bekleniyor.
Bu kalıcılık, bu tür bölgesel olarak uyum sağlayan tehditleri azaltmak için artan bölgesel savunma ve işbirliğine duyulan ihtiyacın altını çizmektedir.
Uzlaşma Göstergesi (IOCS)
| IOC Türü | Örnekler |
|---|---|
| IP adresleri (küme 1) | 45.133.180.26, 146.70.137.90, 181.235.4.255 |
| Alanlar (Küme 1) | envio16-05.dickdns.org, trabajonuevos.dickdns.org |
| IP adresleri (küme 2) | 64.188.9.172, 179.14.8.131 |
| Alanlar (Küme 2) | pesosdepesoslibras.dickdns.org, Deadpoolstart2064.duckdns.org |
| SHA256 Hashes | 04878A5889E3368C2CF093D42006BA18A87C5054F1464900094E6864F4919899, Aee42a6d8d22a421fd4456d8b8c8b3311fa0dc0476461ea649a0a0a08236587eddddd |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!