Sen Bloody Wolf: Kırgızistan ve Özbekistan’da Java Tabanlı NetSupport RAT Saldırıları
Bloody Wolf Hakkında
Son dönemde siber güvenlik alanında dikkat çekici bir aktör olarak öne çıkan Bloody Wolf, Kırgızistan’da Haziran 2025’ten bu yana süregelen siber saldırı kampanyaları ile tanınmaktadır. Cybersecurity araştırmacıları, bu grubun artık Özbekistan’ı da hedef alarak faaliyetlerini genişlettiğini bildirmektedir. Group-IB tarafından yayımlanan bir raporda, finans, hükümet ve bilgi teknolojileri (IT) sektörlerinin saldırıların başlıca odak noktası olduğu vurgulanmaktadır.
Sosyal Mühendislik ve Zararlı Yazılımlar
Bloody Wolf, Kırgızistan Adalet Bakanlığı gibi güvenilir devlet kurumlarını taklit ederek resmi görünümlü PDF belgeleri ve alan adları kullanarak NetSupport RAT dağıtmayı hedeflemektedir. Bu, özellikle sosyal mühendislik teknikleriyle harmanlanmış ve düşük maliyetli araçların kullanımı sayesinde etkin bir şekilde yürütülebilmektedir.
Araştırmalar, grubun önceki operasyonlarının da benzer stratejilerle yürütüldüğünü göstermektedir. Saldırı zincirleri, alıcının kötü amaçlı Java Archive (JAR) dosyalarını indirmesine neden olan bağlantılara tıklamasını sağlamakta ve Java Runtime’ı yüklemesi için talimatlar içermektedir. Ancak asıl amaç, bu yükleyiciyi çalıştırmaktır.
Saldırı Yöntemleri ve Süreklilik Sağlama
Yükleyici çalıştırıldığında, saldırganın kontrolündeki altyapıdan sonraki aşama yükünü (NetSupport RAT) indirmekte ve üç ana yöntemle sistemde süreklilik sağlamaktadır:
- Zamanlanmış görev oluşturma
- Windows Kayıt Defterine değer ekleme
- Başlangıç klasörüne bir toplu iş betiği bırakma
Bu yöntemler, saldırganların hedef sisteme yeniden erişimini kolaylaştırmakta ve bu durum Kırgızistan ve Özbekistan’daki hedeflerine yönelik sürekli bir tehdit oluşturmaktadır.
Özbekistan’daki Özel Hedeflemeler
Özbekistan aşaması, coğrafi sınırlama (geofencing) uygulamaları ile dikkat çekmektedir. Bu sayede, ülkedeki kullanıcıların indirme istekleri, yetkili bir devlet web sitesine yönlendirilmektedir. Bu durum, saldırıyı daha hedeflenmiş hale getirirken, uluslararası isteklerin geçersiz kılınması anlamına gelmektedir.
Sonuç
Bloody Wolf’un, devlet kurumlarına güveni sömürerek ve basit JAR tabanlı yükleyicilerden faydalanarak bölgesel bir siber operasyon gerçekleştirdiği tespit edilmiştir. Kırgızistan ve Özbekistan’daki saldırılar, grubun Orta Asya’daki etkisini artırmak için kullandığı mühendislik ve teknoloji becerilerini yansıtmaktadır. Bu durum, siber güvenlik sektöründe sürekli bir tehdit algısı yaratmakta ve ilgili tarafların önlem almasını gerektirmektedir.
Sonuç olarak, bu tür saldırılar, sadece hedef alınan ülkeler için değil, tüm bölge için endişe verici bir durum oluşturmaktadır. Siber güvenlik önlemlerinin artırılması ve kullanıcıların bilinçlendirilmesi, bu tehditlerin etkisini azaltmak için kritik öneme sahiptir.
