Giriş
Son yıllarda siber tehditler, her zamankinden daha karmaşık ve etkili hale geldi. Özellikle, Çin bağlantılı aktörlerin saldırı yöntemleri, kritik altyapıları hedef alan gelişmiş kötü amaçlı yazılımlar ile öne çıkıyor.
Saldırı Nasıl Çalışıyor?
Gelişmiş bir kötü amaçlı yazılım olan Daxin (“srt64.sys”), 2013’ten beri hükümetler ve kritik altyapı hedeflerine yönelik saldırılarda kullanılıyor. İlk olarak Symantec tarafından Mart 2022’de belgelenmesine rağmen, Daxin’in hala aktif olduğu ve 2026 yılında Tayvan’da bir hedefte çalıştığı ortaya çıktı. Bu olaya ek olarak, Stupig (“a.dll” veya “kbdus1.dll”) adında daha önce rapor edilmemiş bir arka kapı da bulundu. Stupig, sistemin başlangıcında winlogon.exe tarafından çalıştırılarak, kullanıcının giriş yapmadan önce komutlar çalıştırmasına olanak tanıyor.
Etkilenen Sistemler
Gözlemlenen saldırının hedefleri arasında, uluslararası bir yüksek teknoloji üreticisinin Tayvan merkezli bir yan kuruluşu yer alıyor. Daxin ve Stupig’in aynı makinede bulunması, her iki bileşenin de 2013’te derlendiğini gösteriyor. Ancak, zararlı bileşenlerin 13 yıl süresince tespit edilmeden kaldığı düşünülüyor.
Teknik Detaylar
Daxin’in komut ve kontrol yöntemi sıradışı; istemciden çıkan bağlantılar kurmak yerine, mevcut meşru TCP trafiğini izliyor ve şifreli C2 (Command and Control) iletişimi sağlıyor. Bu, Daxin’in, geleneksel ağ izleme ile tespit edilmesini zorlaştırıyor. Ayrıca, Stupig, klavye düzen sağlayıcısı olarak kaydoluyor ve bu sayede win32k.sys ile yüklenerek sistemin başlangıcında geçerli bir KBDTABLES işaretçisi döndürüyor.
Çözüm ve Korunma
Kullanıcıların ve sistem yöneticilerinin aşağıdaki adımları izlemeleri önemlidir:
- Güncellemeler: Sistemlerinizi güncel tutun, özellikle Java Development Kit (JDK) versiyonlarını kontrol edin. Eski ve son derece güvenlik açığı bulunan sürümlerden kaçının.
- Port Kapama: Gerek olmayan portları kapatın. Özellikle ağ dışı iletişim kurulumlarına dair belirli portları dikkatli gözlem altında tutun.
- Ağ İzleme: Ağ trafiğinizi düzenli olarak izleyin ve herhangi bir anomali durumunda derhal müdahale edin.
Önemli Uyarılar
Bu tür tehditler, genellikle kullanıcı eylemlerinin ardında gizlenir. Daxin ve Stupig gibi kötü amaçlı yazılımlar, tespit edilmeden uzun süre çalışabilirler. Saldırganların kullandığı bu yöntemleri anlamak ve önceden önlem almak, siber güvenliğinizi artıracaktır.
Sonuç olarak, güncel yazılım sürümleri ve güçlü güvenlik önlemleri almak, bu tür tehditlerin etkilerini azaltmada kritik öneme sahiptir.


