Malware Tehditleri ve EncryptHub
Son zamanlarda, malware tehdidi olarak bilinen EncryptHub, Microsoft Windows’taki yamanmış bir güvenlik açığını istismar etmeye devam ediyor. Trustwave SpiderLabs, bu grubun, Microsoft Management Console (MMC) çerçevesindeki bir açığı kullanarak kötü niyetli yazılım dağıttığını tespit etti. Bu açığın kodu CVE-2025-26633 olarak biliniyor ve MSC EvilTwin olarak da adlandırılıyor. Trustwave araştırmacıları, bu tür aktivitelerin, güvenlik önlemlerini aşmayı amaçlayan geniş bir siber saldırı dalgasının parçası olduğunu belirtiyor.
EncryptHub’un Yöntemleri
EncryptHub, diğer adıyla LARVA-208 ve Water Gamayun olarak da bilinen bir Rus bilgisayar korsanları grubudur. 2024 ortalarında ortaya çıkan bu grup, finansal motivasyonla hareket eden ve hedeflerini enfekte etmek için çeşitli yöntemler kullanan bir çetedir. Grubun kullandığı bazı yöntemler arasında sahte iş teklifleri, portföy incelemeleri ve hatta popüler oyun platformu Steam üzerinden kullanıcıları kandırma teknikleri bulunmaktadır.
Bu gruptan gelen tehditlerin en sonuncusu, bir Microsoft Teams talebi göndererek hedefe yaklaşmayı içeriyor. Burada, saldırgan kendini IT departmanından biri olarak tanıtmakta ve uzak bağlantı kurarak ek payload’ları dağıtmaya çalışmaktadır. İki MSC dosyası bırakılıyor: biri zararsız, diğeri ise CVE-2025-26633’ü tetiklemek için kullanılan zararlı dosya.
Kötü Amaçlı Yazılım Dağıtımı
İlgili MSC dosyası, harici bir sunucudan sistem bilgilerini toplayan ve kalıcılık sağlamak için bir PowerShell komut dosyası alıyor. Bu dosya, EncryptHub’un komut ve kontrol sunucusu (C2) ile iletişim kurarak, çeşitli kötü niyetli yazılım payload’ları almakta ve çalıştırmaktadır. Bu süreçte, Fickle Stealer adında bir çalma yazılımı da devreye giriyor. Araştırmacılar, bu tür bir saldırının yüksek uyarlama yeteneği olan ve sürekli olarak yeni tehditler geliştiren bir aktör tarafından yapıldığını vurguluyor.
Sosyal Mühendislik ve Zafiyet İstismarı
EncryptHub, sosyal mühendislik teknikleri ve teknik istismarları birleştirerek saldırılarını gerçekleştirmektedir. Kullanıcıların güvenliğini ihlal eden bu grup, sahte video konferans platformları kurarak kurbanları yanıltmakta ve onları zararlı yazılım yüklemeye ikna etmektedir. RivaTalk gibi platformlar, kullanıcıları MSI yükleyicisini indirmeleri ve çalıştırmaları için kandırmaktadır. Bu yükleyici, meşru bir yazılımın yanı sıra kötü amaçlı DLL dosyalarını da içermektedir.
Çok Katmanlı Savunma Stratejileri
EncryptHub’un saldırılarındaki karmaşıklık, güvenlik uzmanlarına çok katmanlı savunma stratejileri geliştirme gereksinimini ortaya koymaktadır. Sürekli güncellenen tehdit istihbaratı ve kullanıcı farkındalığı eğitimi, bu tür saldırılara karşı dayanıklılığı artırmak için kritik öneme sahiptir. Trustwave, EncryptHub’un sürekli olarak gelişen yazılım araç setinin ve yanıltıcı platformlarının, güvenlik önlemlerinin güçlendirilmesi gerekliliğini bir kez daha vurguladığını belirtiyor.
Sonuç
Bu tür tehditlerle başa çıkmanın en etkili yolu, kullanıcıların bilinçlendirilmesi ve güvenlik farkındalığının artırılmasıdır. Kötü niyetli yazılımların yayılması, siber güvenlik alanında dikkate alınması gereken bir durumdur. EncryptHub gibi grupların kullandığı yöntemlerle mücadele etmek için sektörde yer alan herkesin üzerine düşen görevler bulunmaktadır.
