Giriş
UnsolicitedBooker isimli tehdit aktiviteleri grubu, Kırgızistan ve Tacikistan’daki telekomünikasyon şirketlerini hedef alarak, daha önce Suudi Arabistan birimlerine yönelik gerçekleştirilen saldırılardan farklı bir yönelim sergilemektedir. Bu saldırılar, LuciDoor ve MarsSnake adında iki farklı arka kapının (backdoor) kullanılması ile gerçekleştirilmektedir.
Saldırı Nasıl Çalışıyor?
Saldırılar, araştırma firması Positive Technologies tarafından 2025 yılında yayımlanan bir rapora göre gerçekleştirilmektedir. Araştırmacılar Alexander Badaev ve Maxim Shamanov, “Grup, Çin kökenli birkaç benzersiz ve nadir araç kullanmıştır” şeklinde belirtmiştir. UnsolicitedBooker grubu, ilk kez ESET tarafından Mayıs 2025’te, Suudi Arabistan’da isminin açıklanmadığı uluslararası bir kuruluşu hedef alan bir siber saldırıda tespit edilmiştir.
Saldırının detaylarına inildiğinde:
- Eylül 2025’te Kırgızistan’daki kuruluşlar, phishing e-postaları ile hedef alındı.
- E-postalarda, kurbanların açması için talimat veren Microsoft Office belgesi içeren zararlı makrolar yer aldı.
- Bu belgeler, kurbanların dikkatini çekmek için telekomünikasyon sağlayıcısının tarife planını göstermektedir.
Makro çalıştırıldığında, LuciLoad adındaki C++ kötü amaçlı yazılım yükleyicisi sistemde gizlice yüklenmektedir. LuciDoor, komut ve kontrol (C2) sunucusuyla iletişim kurar, temel sistem bilgilerini toplar ve verileri şifreli biçimde gönderir. Sunucudan gelen yanıtları analiz ederek komutlar çalıştırır, dosyaları yazar ve yükler.
Etkilenen Sistemler
Başka bir saldırıda, aynı yöntemle MarsSnake arka kapısı dağıtılmıştır. MarsSnake, saldırganların sistem metadata’sını toplamasına, rastgele komutlar çalıştırmasına ve disk üzerinde dosya okuma/yazma işlemlerine olanak tanır. Bu arka kapı da, benzer bir şekilde, Windows kısayolu aracılığıyla tehlikeli bir Visual Basic Script’i başlatmakta ve ardından MarsSnake’i çalıştırmaktadır.
Çözüm ve Korunma
Siber güvenlik uzmanları, şu anda bu tehditten korunmak için aşağıdaki önerileri sunmaktadır:
- Güncel Kalın: Tüm yazılımlarınızı ve sistemlerinizi en son güncellemelerle güncel tutun.
- Makroları Kapatın: Özellikle bilinmeyen belgelerdeki makroları devre dışı bırakın.
- E-Posta Güvenliği: Bilinmeyen kaynaklardan gelen e-postalara karşı dikkatli olun.
Son olarak, şüpheli bir e-posta aldığınızda veya tehlikeli bir belgeden şüphelendiğinizde, kesinlikle açmayın ve sistemlerinizi koruyacak güvenlik yazılımlarını kullanın. Port kapama, saldırı vektörlerini azaltmak için önemli bir önlem olabilir.
