PhantomEnigma: Güvenli Altyapıların Kötüye Kullanımı
Son dönemde 20’den fazla Brezilya hükümet web sitesinin kötü amaçlı yazılım dağıtım kanallarına dönüştüğü PhantomEnigma kampanyası, siber güvenlik alanında ciddi bir tehdit oluşturmaktadır. Bu tür saldırılar, bankalar ve kamu ajansları gibi hassas hedefleri riske atmaktadır.
Saldırı Nasıl Çalışıyor?
Bu saldırı, “Ofício Polícia Civil” veya “Procuração Digital” gibi resmi belgeler görünümündeki sahte belgeler ile başlayarak, kurbanları kandırmayı amaçlamaktadır. Bazı belgelerde QR kodları bulunurken, diğerleri ise kurbanları gerçek devlet kaynaklarına benzer görünümlü bağlantılara yönlendirmektedir.
Kurgu e-postalar, çoğunlukla ele geçirilmiş hesaplar üzerinden gönderilmekte ve SPF, DKIM ve DMARC kontrollerinden geçerek daha güçlü bir meşruiyet kazanmaktadır. Bu, bu tür mesajların durumu daha da karmaşıklaştırmaktadır.
Gözlemlenen Hükümet Sistemleri
İnceleme sırasında gözlemlenen ele geçirilmiş sistemler arasında şunlar yer almaktadır:
- timon.ma.gov[.]br
- loginam.sesp.es.gov[.]br (devlet kamu güvenliği)
- aplicacao.cbm.mt.gov[.]br (itfaiye)
- prodoc.ap.gov[.]br
Bu meşru kamu güvenlik ve yargı portalları, kötü amaçlı yazılımın dağıtım zincirinin farklı aşamalarında kullanılmaktadır.
PhantomEnigma’nın Evrimi: Daha Zor Tespit Yöntemleri
Kampanya, 2025’te bankacılık odaklı faaliyetlerden 2026’da ele geçirilmiş .gov.br web siteleri ve e-posta hesaplarını kullanarak daha güvenilir bir yol izlemeye geçmiştir. Aşağıda bu evrimin ana hatları verilmiştir:
- Dağıtım: Ele geçirilmiş altyapının kullanılması, kurbanlar için daha güvenilir bir yol sağlamakta.
- Silahlanma: Kötü amaçlı yazılım, bir tarayıcı uzantısından modüler bir Inno/Node.js arka kapısına dönüşmüştür.
Bu durum, güvenlik ekipleri için ciddi bir görünürlük açığı oluşturmakta ve tespit süreçlerini zorlaştırmaktadır.
PhantomEnigma Saldırı Zinciri
Kurban bir lure ile etkileşime geçtiğinde, kampanya çok aşamalı bir enfeksiyon zinciri ile devam eder:
- Phishing e-posta: Sahte polis temalı ya da resmi belge gibi bir lure alır.
- Güvenilir altyapı: Bağlantı, ele geçirilmiş bir hükümet sunucusuna yönlendirilir.
- Kötü amaçlı kurulum: İnfection başlatan Inno Setup, MSI veya başka bir kurulum dosyası kullanılır.
- Arka kapı aktivasyonu: Kötü amaçlı yazılım sistem verilerini toplar ve artık değişen sunucularla bağ kurar.
PhantomEnigma’nın Arka Kapısında Bulunanlar
Sandalyelerde görülen modüler yapı, enfekte olmuş makineleri tanımlama ve erişimi sürdürme kabiliyetine sahip bir index.js arka kapısının varlığını ortaya koymuştur. Bu arka kapı aşağıdaki yeteneklere sahiptir:
- Kurbanın bilgisayar adı, kullanıcı adı ve sistem detaylarını toplamak
- Ömürlük bir makine ID’si oluşturmak ve kurulum dosyası ile yanına yerleştirilen kampanya etiketini okumak
- Her 180 saniyede yeni komutlar kontrol etmek
Banka ve Kamu Ajansları için Bir Uyarı
PhantomEnigma, saldırganların güvenilir altyapıları nasıl kendi avantajlarına kullanabileceğini gösteriyor. Bir hükümet alanı, doğrulanmış e-posta veya temiz bir dosya sonucu, enfeksiyon zinciri aktif olduğunda bile şüpheyi azaltabilir.
Banka ve kamu sektöründeki kurumlar için risk, yalnızca tek bir ele geçirilmiş uç nokta ile sınırlı değildir. Çalınan kimlik bilgileri ve sürekli arka kapı erişimi, iç sistemlerin, hassas verilerin ve finansal işlemlerin ifşasına yol açabilir.
Güvenlik ekipleri, çalışanların resmi görünümdeki şüpheli mesajları güvenli bir şekilde bildirmelerini sağlamalı ve bu mesajları daha derinlemesine incelemelidir. Güvenilir lure’ların erken yakalanması, kimlik hırsızlığını önleyebilir ve daha geniş operasyonel olayların yaşanmasının önüne geçebilir.
Sonuç olarak, sistemlerinizi güncelleyin ve port kapatmayı değerlendirin. Güvenlik ve güncellemeleri sürekli denetlemek hayati öneme sahiptir.


