Hindistan’daki Hükümet Kurumlarına Yönelik Siber Saldırılar
Son zamanlarda, Pakistan dışındaki bazı bağlantıları bulunan bir hack grubu, Hindistan hükümet kuruluşlarını hedef alan bir uzaktan erişim trojanı (RAT) çeşidi olan DRAT’ın değiştirilmiş bir versiyonu ile saldırılarda bulundu. Bu etkinlik, Recorded Future’ın Insikt Grubu tarafından TAG-140 olarak takip edilen bir tehdit aktörüne atfediliyor. TAG-140, Transparent Tribe (APT-C-56, APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major ve ProjectM) adıyla bilinen bir çatışma kolektifi içinde faaliyet gösteren bir alt grup olarak değerlendiriliyor.
DRAT V2’nin Özellikleri
TAG-140, zararlı yazılım silahında sürekli bir evrim ve çeşitlilik göstermiştir. Geçtiğimiz ay yayımlanan bir analizde, Mastercard’a ait şirketin belirttiğine göre, bu en son kampanya, Hindistan Savunma Bakanlığı’nın klonlanmış basın bülteni portalı aracılığıyla gerçekleştirildi. Bu, hem zararlı yazılım mimarisinde hem de komut ve kontrol (C2) fonksiyonlarında hassas bir değişimi işaret ediyor.
DRAT V2, SideCopy’nin RAT arsenalinde yer alan en yeni ekleme olarak dikkat çekiyor. SideCopy, Action RAT, AllaKore RAT, Ares RAT, CurlBack RAT, ReverseRAT, Spark RAT ve Xeno RAT gibi başka araçları da içeriyor ve Windows ile Linux sistemlerini enfekte etme yeteneğine sahip. Son saldırı faaliyetleri, tehdit aktörünün hükümet, savunma, denizcilik ve akademik sektörlerin yanı sıra demiryolu, petrol ve gaz, uluslararası ilişkiler gibi alanları hedef alarak genişlemiştir.
Saldırı Yöntemleri
Siber saldırıların sekansı, Hindistan Savunma Bakanlığı’nın resmi basın bülteni portalını taklit eden ClickFix tarzı bir yöntemle gerçekleştiriliyor. Zarar verici bir .NET tabanlı DRAT sürümünü yeni bir Delphi derlenmiş versiyona indirmek için sahte bir web sitesi kullanılıyor. Kullanıcılar, aktif bir bağlantıya tıkladıklarında, zararlı bir komut bilgisini makinenin panosuna kopyalayarak çalıştırmaya teşvik ediliyorlar.
Buradan sonra, dış bir sunucudan bir HTML Uygulaması (HTA) dosyasının alınması sağlanıyor ve bu dosya, mshta.exe aracılığıyla çalıştırılarak BroaderAspect adlı bir yükleyici başlatılıyor. Yükleyici, Windows Kayıt Defteri üzerinde değişiklik yaparak kalıcılığı sağlıyor ve aynı sunucudan DRAT V2’yi indiriyor ve çalıştırıyor.
DRAT V2’nin Gelişmiş Özellikleri
DRAT V2, rastgele shell komutları çalıştırmak için yeni bir komut ekleyerek pasif saldırı sonrası esnekliği artırıyor. C2 IP adreslerini Base64 kodlaması kullanarak gizliyor ve özel sunucu başlatılan TCP protokolünü ASCII ve Unicode komutları destekleyecek şekilde güncelliyor. Ancak, sunucu sadece ASCII yanıt veriyor, bu da orijinal DRAT’ın hem giriş hem de çıkış için Unicode gerektirdiği anlamına geliyor.
Recorded Future’a göre, DRAT V2, en eski versiyonuna kıyasla çoğu komut başlığını düz metin olarak tutarak dize gizleme gereksinimini azaltıyor. Gelişmiş anti-analiz tekniklerine sahip olmaması ve temel enfeksiyon ve kalıcılık yöntemlerine dayanması, statik ve davranışsal analiz için tespit edilmesi kolay hale getiriyor.
APT36 Kampanyaları
APT36 tarafından düzenlenen devlet destekli tehdit aktiviteleri, Mayıs 2025’te Hindistan-Pakistan çatışması sırasında hız kazandı. Bu kampanyalar, Ares RAT’ın, savunma, hükümet, IT, sağlık, eğitim ve telekom sektörlerini hedef almasını sağladı. APT36, özellikle Hindistan’ın savunma altyapısını tehdit eden temel bir siber tehdit olarak değerlendirilmektedir.
DISGOMOJI adı verilen bir Go tabanlı zararlı yazılımın yeni bir versiyonu da, phishing saldırıları aracılığıyla dağıtılan ZIP dosyalarında kullanıldı. Bu yazılım, bir ELF çalıştırılabilir programıdır ve Google Cloud üzerinden C2 iletişimi gerçekleştiriyor. Önceki versiyon Discord sunucusunu kullanırken, şu anda iletişimi Google Cloud Hizmeti üzerinden sağlıyor.
Confucius’tan Yeni Tehditler
Siber casusluk grubuna bağlı olan Confucius, yeni bir kampanya ile WooperStealer ve daha önce belgelenmemiş bir modüler arka kapı olan Anondoor‘u dağıtmakla ilişkilendirilmiştir. Bu grup, hükümet ve askeri birimlere yönelik saldırılar düzenliyor ve 2013 yılından bu yana aktif olduğu düşünülüyor.
Analizlerde, çok aşamalı saldırıların başlangıç noktası olarak Windows Shortcut (LNK) dosyaları kullanıldığı görülmüştür. Anondoor, DLL yan yükleme teknikleri aracılığıyla teslim edilir. Bu süreçte sistem bilgileri toplanır ve WooperStealer dış bir sunucudan indirilir.
WooperStealer, şifreleri çalabilme, ekran görüntüleri alabilme ve uzaktan erişim sağlama gibi birçok eylemi gerçekleştirme yeteneğine sahiptir. Sonuç olarak, bu gruplar ve teknikleri, artan siber tehditler arasında yer almakta ve kirletilmiş bilgi yollarının tespiti zorluğunu artırmaktadır.
