İşlem Dragon Weave: Yeni Bir Siber Casusluk Kampanyası
Yeni bir siber casusluk kampanyası olan Operation Dragon Weave, Çek Cumhuriyeti ve Tayvan’daki yetkilileri ve vatandaşları hedef alarak bir AdaptixC2 ajanı dağıtmaktadır. Bu tür saldırılar, ulusal güvenlik ve kişisel veri mahremiyeti açısından ciddi tehditler oluşturmakta, özellikle devlet, araştırma, akademik, teknoloji ve finans sektörleri bakımından endişeleri artırmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı, hedeflere gönderilen >> e-postaları aracılığıyla gerçekleşmektedir ve bu e-postalar, bir enfeksiyon zincirini tetiklemek için ZIP ekleri içermektedir. Saldırı süreci şu aşamalardan oluşmaktadır:
- ZIP arşivi açıldığında, içindeki dosyalar meşru görünebilir ancak aslında kötü amaçlı yükleri çalıştırmak için tasarlanmış bir enfeksiyon zincirinin parçalarıdır.
- İlk enfeksiyon akışı, alıcının kötü amaçlı bir Windows Shortcut (LNK) dosyasını açmasıyla başlar. Bu dosya, bir PowerShell scriptini çalıştırır ve buradan RuntimeBroker_update.exe adlı bir executable’ı sürekli bir DAT dosyasından çıkarır.
- İkinci enfeksiyon zincirinde, kurban doğrudan ZIP arşivinden bir binary dosyası çalıştırır. Bu binary, özünde bir Rust tabanlı dropper’dır ve RuntimeBroker_update.exe‘yi başlatır.
Her iki durumda da, bu executable bir zararlı DLL dosyası olan UnityPlayer.dll‘yi DLL side-loading yöntemiyle yükler ve ardından RUSTCLOAK adı verilen bir Rust tabanlı loader’ı çalıştırır.
Etkilenen Sistemler
Loader, ana yük olan AdaptixC2 ajanını çalıştırmadan önce, Microsoft Azure Blob Storage’ı için komut ve kontrol (C2) aracı olarak kullanan AZUREVEIL adında bir aşamaya geçer. Bu aşama, zararlının yalnızca sandbox ortamlarında yürütülmedikçe ilerlemesine izin veren anti-analiz kontrolleri içerir.
AZUREVEIL, saldırganın hedef üzerinde geniş bir kontrol elde etmesine olanak tanıyan 36 farklı komutu desteklemektedir. Bu komutlar arasında şunlar bulunmaktadır:
- Dosya işlemleri
- Dosya yükleme ve indirme
- Shell komutlarının yürütülmesi
- İşlem sayımı ve sonlandırma
- Port yönlendirme
- SOCKS proxy kontrolü
- C2 sunucu yönetimi
- Bellek içi Beacon Object Files (BOFs) yürütme
Çözüm ve Korunma
Bu siber saldırılar, ciddi güvenlik açıkları taşımaktadır. Kuruluşların ve bireylerin alabileceği önlemler şunlardır:
- Güncellemeleri kontrol edin: Yazılım ve işletim sistemlerini güncel tutun.
- Phishing e-postalarına dikkat edin: Şüpheli bağlantılara tıklamayın ve bilmediğiniz kaynaklardan gelen e-postaları açmayın.
- Portları kapatın: Gereksiz portları kapatarak sistem güvenliğinizi artırın.
- Güvenlik yazılımları kullanın: Antivirüs ve güvenlik duvarı gibi önlemlerle sistemlerinizi koruyun.
Sonuç olarak, bu tür tehditlerle başa çıkabilmek için sürekli bir güvenlik stratejisi geliştirmek hayati öneme sahiptir. Kuruluşların ve bireylerin, dijital savunmalarını güçlendirmek ve bu tür saldırılara karşı hazırlıklı olmak için ortak bir çaba göstermeleri gerekmektedir.
