Giriş
Mart 2026’da Atos Tehdit Araştırma Merkezi (TRC) tarafından tespit edilen karmaşık bir zararlı kampanya, yüksek yetki seviyesine sahip profesyonel hesapları hedef almaktadır. Bu operasyon, günlük işlerinde kullandıkları yönetici araçlarının taklit edilmesi yoluyla kritik bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
Bu kampanya, platform düzeyinde kaldırmaları atlatmak ve yüksek bir arama motoru sıralaması korumak için çok katmanlı bir dağıtım zinciri kullanmaktadır. Saldırı, çeşitli arama motorlarında SEO zehirlemesi ile başlar; böylece niş IT terimleri için zararlı sonuçların üst sıralarda yer alması sağlanır. Kullanıcılar önce bir birincil “maskeli” GitHub deposuna yönlendirilir. Bu depolar SEO için optimize edilmiştir, ancak zararlı kod içermez; yalnızca profesyonel görünümlü bir README dosyası barındırır. README dosyası, bir kurbanı ikinci, gizli GitHub deposuna yönlendiren bir bağlantı barındırmaktadır. Bu bağlantı, kötü amaçlı yazılımın gerçek dağıtım noktasıdır.
Etkilenen Sistemler
Bu kampanya, yönetim yığınına odaklanarak, PsExec, AzCopy, Sysmon, LAPS gibi araçları taklit ederek kötü amaçlı MSI yükleyicilerini dağıtmaktadır. Bu araçlar, genellikle yüksek yetkilere sahip personel tarafından kullanılmaktadır. Bir yöneticinin iş istasyonunda başarılı bir enfeksiyon, “krallığın anahtarlarını” sağlayarak kurumsal ortamda yan hareketliliği kolaylaştırabilir.
Decentralize Komut ve Kontrol Yapısı
Kampanyanın en teknik açıdan önemli kısmı, Blockchain Tabanlı Dead Drop Resolving (DDR) uygulamasıdır. Zararlı MSI çalıştırıldığında, kötü amaçlı yazılım sabit bir alan adı veya IP adresine ulaşmaz; bunun yerine, bir Ethereum (ETH) RPC uç noktasına sorgu gönderir. Zararlı yazılım, Ethereum blok zincirindeki belirli bir Akıllı Sözleşme adresini sorgular. Bu sırada, zararlı yazılım dinamik olarak canlı C2 sunucu adresini çeker. Bu teknik, saldırganlara büyük bir dayanıklılık sağlar:
- Altyapı çevikliği: Saldırgan, yalnızca blok zincirindeki sözleşme içinde saklanan değeri güncelleyerek, dünya genelinde C2 sunucularını değiştirebilir.
- Dayanıklılık: Kamuya açık Ethereum geçitleri erişilebilir olduğu sürece, kötü amaçlı yazılım her zaman “evine” ulaşabilir.
Çözüm ve Korunma
Bu kampanyayla ilişkili riskleri azaltmak için, kuruluşların aşağıdaki önleyici tedbirleri uygulamaları gerekmektedir:
- Desentralize Altyapı Erişimini Kısıtlayın: EtherRAT tarafından kullanılan kamusal Ethereum (ETH) RPC uç noktalarına erişimi engelleyin.
- Tarihsel İletişim İncelemesi: Belirtilen RPC ETH uç noktalarıyla yapılan veri akışlarını tespit etmek için geçmiş günlüklerini gözden geçirin.
- Alet Kanıtı ve Yönetim Farkındalığı: IT personelini, tüm yönetim araçları için onaylı yazılım merkezlerini veya doğrudan, doğrulanmış satıcı portallarını kullanma hususunda bilgilendirin.
- Davranışsal Tehdit Avlama: Şüpheli dış alanlara yüksek sıklıkta iletişim gönderen süreçleri izleyin.
Sonuç olarak, kuruluşlar yazılımlarını güncellemeli, etkisiz portlarını kapatmalı ve çalışanlarını bu tür zararlılara karşı bilinçlendirmelidir. Korunma stratejilerini sıkılaştırarak, bu tehditlere karşı daha sağlam bir savunma mekanizması oluşturabilirler.
