Giriş
Son günlerde, İran merkezli siber tehdit grubu Infy (diğer adıyla Prince of Persia), taktiklerini geliştirerek izlerini gizleme girişimlerinde bulundu. Bu durum, siber güvenlik alanındaki risklerin artmakta olduğunu gösteriyor ve özellikle devlet destekli siber saldırılara karşı dikkatli olunması gerektiğini vurguluyor.
Saldırı Nasıl Çalışıyor?
Infy, yeni komut ve kontrol (C2) altyapılarının yanı sıra Tornado olarak adlandırılan güncellenmiş versiyonlar kullanarak etkinliğini artırıyor. Son raporlara göre, 2025 Aralık ve 2026 Şubat tarihleri arasında, Foudre ve Tonnerre malware’lerinin tüm versiyonları için C2 altyapısı değiştirilmiş ve Tornado versiyon 51 tanıtılmıştır. Bu yeni versiyon, HTTP ve Telegram üzerinden C2 iletişimi kurma yeteneğine sahiptir.
Malware, C2 alan adlarını oluşturmak için iki yöntem kullanmaktadır:
- Yeni bir DGA algoritması
- Blockchain veri deşifre etme ile sabit adlar
Bu yaklaşım, C2 alan adlarını kaydetme esnekliğini artırırken, Tornado versiyonunun güncellenmesini gerektirmemektedir.
Etkilenen Sistemler
Infy, WinRAR içindeki bir güvenlik açığını (CVE-2025-8088 veya CVE-2025-6218) kullanarak saldırılarını gerçekleştirmektedir. Bu açıklardan yararlanan Infy, hedef makinelerde Tornado yükünü çıkartmaktadır. Özel olarak tasarlanmış RAR arşivleri, 2025 Aralık ayı ortalarında VirusTotal platformuna yüklenmiştir.
RAR dosyası, aşağıdaki dosyaları içeren bir kendinden çıkarılabilen arşiv (SFX) olarak yapılandırılmıştır:
- AuthFWSnapin.dll, ana Tornado versiyon 51 DLL’si
- reg7989.dll, kurulum dosyası; Avast antivirus yazılımının yüklü olmadığını kontrol eder ve yoksa devamlılık sağlamak için programlı görev oluşturur
Çözüm ve Korunma
Şirketler ve kullanıcılar, bu tür saldırılara karşı aşağıdaki önlemleri almalıdır:
- Yazılımlarını düzenli olarak güncelleyin.
- Bilgisayar güvenlik yazılımlarını (antivirus vb.) aktif olarak kullanın ve güncel tutun.
- Şüpheli dosya veya e-postaları açmaktan kaçının.
- Gerekirse, web trafiğinizi izleyin ve içerik filtreleme araçları kullanın.
Bunların yanı sıra, özellikle CVE-2025-8088 ve CVE-2025-6218 numaralı güvenlik açıklarına karşı dikkatli olunmalıdır.
Sonuç
Infy grubunun siber saldırıları, devlet destekli hackerların yeteneklerini ve stratejilerini gözler önüne seriyor. Okuyucuların, kullandıkları yazılımları hemen güncellemeleri, gereksiz portları kapatmaları ve güvenlik duvarlarını etkin hale getirmeleri kritik öneme sahiptir. Bu tehditlere karşı her zaman tetikte kalmak ve önlem almak, siber güvenliğinizi artıracaktır.
