Acil: Çin Bağlantılı GopherWhisper, 12 Moğol Hükümet Sistemini Tehdit Ediyor

Giriş

Mongol hükümet kurumları, daha önce belgelenmemiş bir Çin destekli ileri seviye sürekli tehdit (APT) grubu olan GopherWhisper‘ın hedefi haline gelmiştir. Bu durum, hem siber güvenlik alanında ciddi bir tehdit oluşturmakta hem de uluslararası ilişkilerin dinamiklerini etkileyebilecek potansiyele sahiptir.

Saldırı Nasıl Çalışıyor?

GopherWhisper grubu, Go dilinde yazılmış çok çeşitli araçlar kullanarak, çeşitli backdoor’lar dağıtmakta ve yürütmektedir. ESET isimli Slovak siber güvenlik şirketinin raporuna göre, grup, Discord, Slack, Microsoft 365 Outlook ve file.io gibi meşru hizmetleri, komut ve kontrol (C&C) iletişimi ile veri sızdırma için suistimal etmektedir.

İlk olarak Ocak 2025’te, bir Mongol devlet kurumu sisteminde keşfedilen LaxGopher isimli yeni bir backdoor ile tespit edilmiştir. Bunun yanı sıra, C&C sunucusundan talimat almak ve bunları yürütmek için geliştirilmiş çeşitli başka kötü amaçlı yazılım aileleri de keşfedilmiştir.

• JabGopher: LaxGopher (“whisper.dll”) backdoor’unu yürüten bir injector.
• LaxGopher: Slack üzerinden C2 için çalışan ve “cmd.exe” aracılığıyla komutlar yürüten bir Go tabanlı backdoor.
• CompactGopher: Belirli dosya uzantılarını filtreleyip ZIP dosyalarına sıkıştırarak file[.]io’ya sızdıran bir dosya toplama aracı.
• RatGopher: Discord sunucusu aracılığıyla komut iletişimi yapan bir Go tabanlı backdoor.
• SSLORDoor: C++ tabanlı bir backdoor; ham soketler aracılığıyla iletişim kurar ve “cmd.exe” kullanarak dosya işlemleri gerçekleştirir.
• FriendDelivery: BoxOfFriends için bir yükleyici ve injector olarak işlev görür.
• BoxOfFriends: Microsoft Graph API kullanan Go tabanlı bir backdoor; bunun için özel kimlik bilgileriyle hazırlık yapar.

Etkilenen Sistemler

ESET’in telemetri verilerine göre, yaklaşık 12 adet hükümet sisteminin backdoor ile enfekte olduğu tespit edilmiştir. Saldırganın kontrolündeki Discord ve Slack sunucularından gelen C&C trafiği, başka birçok mağdurun da bulunduğunu göstermektedir.

Çözüm ve Korunma

Bu tür siber saldırılardan korunmak için aşağıdaki önlemleri almanız önemlidir:

• Tüm sistem ve yazılımları en son güvenlik güncellemeleri ile güncel tutun.
• Meşru hizmetlerin kötüye kullanımını önlemek amacıyla, kullanıcı sayfalarınızda güçlü erişim kontrolleri uygulayın.
• Ağ güvenliğini artırmak için port kapatma ve güvenlik duvarı yapılandırmalarını gözden geçirin.

Sonuç

GopherWhisper grubunun faaliyetleri, devlet kurumları için önemli bir güvenlik tehdidi oluşturuyor. Kuruluşunuzun güvenliğini artırmak adına, sistemlerinizi düzenli olarak güncelleyin ve şüpheli aktiviteleri izlemek için otomatik sistemler kullanın.