Hindistan Hükümeti Hedef Alındı
Hindistan’daki hükümet kuruluşları, Pakistan merkezli bir tehdit aktörü tarafından hedef alınan iki kampanyanın nesnesi oldu. Bu saldırılar, “Gopher Strike” ve “Sheet Attack” adlarıyla anılmakta ve siber güvenlik açısından büyük bir endişe kaynağıdır.
Saldırı Nasıl Çalışıyor?
Zscaler ThreatLabz, Eylül 2025’te bu kampanyaları tespit etti. “Sheet Attack”, Google Sheets, Firebase ve e-posta gibi meşru hizmetleri kullanarak komut ve kontrol (C2) işlemleri gerçekleştirirken; “Gopher Strike”, oltalama e-postaları aracılığıyla sahte güncelleme talepleri ile başlamaktadır. Bu talepler, kullanıcılara PDF belgelerini görüntülemek için sahte bir Adobe Acrobat Reader DC güncellemesi yüklemeleri konusunda yönlendiren bir pop-up ile sunulmaktadır.
Sahte güncelleme penceresinde yer alan “İndir ve Yükle” butonuna tıklamak, yalnızca Hindistan ip adreslerinden ve Windows sistemlerinden gelen taleplerde bir ISO dosyasının indirilmesini tetiklemektedir. Yapılan sunucu tarafı kontrolleri, kötü amaçlı dosyaların otomatik URL analiz araçları tarafından ele geçirilmesini engellemektedir.
Etkilenen Sistemler
Kötü amaçlı yük, ISO görüntüsü içinde GOGITTER adlı Golang tabanlı bir indirici olarak yer alır. Bu indirici, belirli klasörlerde (C:UsersPublicDownloads, C:UsersPublicPictures ve %APPDATA%) bir Visual Basic Script (VBScript) dosyası oluşturur. Her 30 saniyede bir iki önceden yapılandırılmış C2 sunucusundan VBScript komutlarını çeker.
GOGITTER, ayrıca her 50 dakikada bir çalışacak şekilde bir zamanlanmış görev oluşturarak kalıcılık sağlar. Eğer “adobe_update.zip” adlı başka bir dosya yoksa, bu arşivi özel bir GitHub deposundan çekmektedir. Bu GitHub hesabı 7 Haziran 2025’te oluşturulmuştur.
İşleyiş ve Komutlar
İndirme başarılı olduktan sonra, saldırı zinciri “adobe-acrobat[.]in” alanına bir HTTP GET isteği gönderir. Bu, siber suçlulara saldırının hedefinin enfekte olduğunu bildirmek için yapılır. GOGITTER daha sonra ZIP dosyasından “edgehost.exe” dosyasını çıkartıp çalıştırmaktadır. GITSHELLPAD ise tehdit aktörlerinin kontrolündeki özel GitHub depolarını kullanarak C2 ile iletişim kurmaktadır.
GITSHELLPAD, aşağıdaki altı farklı komutu destekleyen “command.txt” dosyasını her 15 saniyede bir GET isteği ile almak için C2 sunucusunu kontrol etmektedir:
- cd ..: Bir üst dizine geçiş yapmak için
- cd: Belirtilen yola gitmek için
- run: Arka planda bir komut çalıştırmak için
- upload: Belirtilen yolu kullanarak yerel bir dosyayı GitHub deposuna yüklemek için
- download: Belirtilen yola bir dosya indirmek için
- default case: cmd /c kullanarak bir komut çalıştırmak için
Çözüm ve Korunma
Zscaler, tehdit aktörünün, kurban bilgisayarı üzerinde erişim sağladıktan sonra cURL komutları kullanarak RAR arşivleri indirdiğini gözlemlemiştir. Bu arşivler, sistem bilgilerini toplamak ve Cobalt Strike Beacon’ı iletmek için kullanılan GOSHELL adında özel bir Golang tabanlı yükleyiciyi içermektedir. GOSHELL, belirli ana bilgisayar adlarıyla karşılaştırma yaparak yalnızca belirli koşullarda çalışmaktadır.
Siber güvenlik uzmanları, bu tür saldırılardan korunmak için şu önlemleri almanızı önermektedir:
- Adobe Acrobat Reader gibi yazılımların en son sürümde olduğundan emin olun.
- Tanımadığınız e-postalardaki bağlantılara tıklamayın.
- Güvenlik duvarı ayarlarınızı kontrol edin ve gerekirse kapatılan portları açın.
- Sık sık sistem güncellemeleri ve yamanıza dikkat edin.
Son olarak, acil güncellemeleri yapmayı ve portları kapatmayı ihmal etmeyin. Bu tür saldırılara karşı her zaman tetikte olmalısınız.
