Ukrayna’da Yeni Siber Saldırılar: CABINETRAT Tehlikesi
Ukrayna, 2025 yılında siber güvenlik alanında büyük tehditlerle karşı karşıya kalmaya devam ediyor. Bilgisayar Acil Durum Yanıt Takımı (CERT-UA), ülkede yeni bir hedefli siber saldırı dalgasının farkına varmış durumda. Bu saldırılar, CABINETRAT adında bir arka kapıyı (backdoor) kullanarak gerçekleştiriliyor. Siber güvenlik uzmanları, bu etkinliğin, UAC-0245 adıyla izledikleri bir tehdit grubuna atfedildiğini bildirmişlerdir.
Tehditin Kaynağı: XLL Dosyaları
Saldırının başlangıcında, Eylül 2025 itibarıyla dağıtılmaya başlanan XLL dosyaları dikkat çekiyor. Bu dosyalar, Microsoft Excel‘in fonksiyonlarını genişletmek için kullanılan eklentiler olarak bilinir. Ancak, zararlı yazılım içeren bu dosyalar, Signal mesajlaşma uygulaması üzerinden paylaşılan ZIP arşivleri içinde, Ukrayna sınırını geçmeye çalışan bireylerin gözaltına alınmasıyla ilgili belgeler olarak disguise edilmiş.
Araştırmalar sonucunda, zararlı yazılımın aktif hale geldiğinde, hedef bilgisayarda bir dizi yürütülebilir dosya oluşturduğu ortaya çıkmıştır. Bunlar arasında Başlat klasöründe bir EXE dosyası, belirli bir dizin içinde (APPDATAMicrosoftExcelXLSTART) “BasicExcelMath.xll” isimli bir XLL dosyası ve “Office.png” adında bir PNG resmi bulunmaktadır.
Windows Kayıt Defteri Değişiklikleri ve Kalıcılık
Söz konusu XLL dosyası, bilgisayar üzerinde kalıcılığı sağlamak için Windows Kayıt Defteri‘nde değişiklikler yaparak, Excel uygulamasını bir komut dosyası ile gizli modda çalıştırıyor. Bu süreçte, “/e” (“/embed”) parametresi kullanılarak, XLL eklentisi çalıştırılıyor. XLL’in ana amaçlarından biri, “Office.png” dosyasından CABINETRAT olarak sınıflandırılan shellcode’u ayıklamak ve çıkarmaktır.
Saldırının Önlemleri ve Saldırganın Amacı
CABINETRAT, C programlama dili kullanılarak yazılmış tam teşekküllü bir arka kapıdır. Sistem bilgilerini toplama, kurulu programların listesini alma, ekran görüntüleri yakalama gibi işlevler sunmaktadır. Ayrıca, dosya veya klasörleri silme, komutlar çalıştırma ve dosya yükleme/indirme gibi işlemleri de gerçekleştirebilir. Zararlı yazılım, hedef bilgisayardan uzak bir sunucuya TCP bağlantısı üzerinden iletişim kurar.
CABINETRAT’ın tespit edilmesini güçleştiren çeşitli anti-VM (sanallaştırma) ve anti-analiz prosedürleri bulunmaktadır. Örneğin, hedef sistemin en az iki işlemci çekirdeğine ve en az 3 GB RAM’e sahip olup olmadığını kontrol eder. Ayrıca, VMware, VirtualBox, Xen, QEMU, Parallels ve Hyper-V gibi sanallaştırma yazılımlarının varlığını da sorgular.
Diğer Tehditler ve Zafiyetler
Sonunda, siber güvenlik alanındaki bu tehditler sadece CABINETRAT ile sınırlı kalmamaktadır. Fortinet FortiGuard Labs, Ukrayna’yı hedef alan başka bir saldırı türü hakkında da uyarılar yapmıştır. Bu tehdit, Ukrayna Ulusal Polisi’ni taklit eden bir phishing kampanyası ile gerçekleştirilmiş ve sistemlerden hassas verileri çalmak üzere Amatera Stealer ve PureMiner yazılımlarını kullanmıştır.
Sonuç Olarak
Siber saldırıların arttığı böyle bir dönemde, hem bireyler hem de kurumlar, uyum ve güvenlik önlemlerini artırmak zorundadır. Eğitim, farkındalık ve düzenli güncellemeler ile bu tür tehditlerle başa çıkmak mümkündür. Ayrıca, kötü niyetli yazılımların tespiti ve önlenmesi adına güncel yazılımlar kullanmak büyük önem taşımaktadır. Bu süreçte, her bireyin dikkatli olması ve gelen her dosyayı sorgulaması gerektiği unutulmamalıdır. Siber güvenliğin sağlanmasında toplumsal bir farkındalık oluşturmak, gelecekteki saldırıların önüne geçilmesine yardımcı olacaktır.
