Giriş
Son zamanlarda, Mistic adı verilen yeni ve gizli bir arka kapının, çok sayıda sektörü hedef alan mali motivasyonlu saldırılarda kullanıldığı görülmektedir. Bu arka kapı, özellikle sigorta, eğitim, IT ve profesyonel hizmetler alanlarında faaliyet gösteren kuruluşlara karşı bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
Symantec ve Carbon Black’ın Tehdit Avcıları, Mistic arka kapısının, MLTBackdoor olarak da bilindiğini ve KongTuke adlı bir ilk erişim aracı (IAB) ile bağlantılı olduğunu tespit etmiştir. ModeloRAT, saldırılarda kullanılan bir Python uzaktan erişim trojanıdır (RAT) ve KongTuke grubuna atfedilmektedir.
Arka kapı, bellek içinde yüklenmiş yükleri çalıştırmakta ve diske hiçbir dosya yazmamaktadır. Ayrıca, kendisini silme yeteneği bulunan bir “kill switch” içermektedir, bu da operatörlerin uzun dönemli ve düşük görünürlükte bir erişim sağlaması amacıyla geliştirilmiş bir özellik olarak değerlendirilmektedir.
Etkilenen Sistemler
- Sigorta sektorü
- Eğitim kurumları
- Bilgi teknolojileri sektörü
- Profesyonel hizmetler
ModeloRAT, Ocak 2026’da ClickFix kampanyası ile bağlantılı olarak ilk kez fark edildi. Bu kampanyada, KongTuke aktörleri, kötü amaçlı bir Google Chrome eklentisi kullanarak mağdurların web tarayıcılarını çökertmiştir.
Teknik Ayrıntılar
Mistic arka kapısı, DLL side-loading tekniklerine dayanmakta ve güvenilir Microsoft son noktası güvenlik araçlarını (“MpExtMs.exe”) kullanarak dikkat çekmekten kaçınmaktadır. Bu arka kapı, bellek içinde doğrudan çalışarak aşağıdaki yeteneklere sahip olmaktadır:
- Dosya yükleme veya indirme
- Dosya taşıma, yeniden adlandırma veya silme
- Klasör oluşturma
- Uzaktan sunucudan komut almak için bir zaman aralığını değiştirme
- Diskte herhangi bir kalıntı bırakmadan C2’den alınan kodu bellekte yürütme
- Beacon Object Files (BOFs) yükleme ile yeteneklerini dinamik olarak genişletme
- Kendini sonlandırma ve silme
Çözüm ve Korunma
Saldırganların hedefleme stratejisi, sunmuş oldukları erişim hizmetlerini satmak için geniş bir çerçevede fırsatları değerlendirmek olarak tanımlanmaktadır. Bu bağlamda, ModeloRAT gibi yazılımların Qilin fidye yazılımlarını dağıtan saldırılarda görüldüğü belirtilmektedir.
Aksiyon
Bu tehditten korunmak için aşağıdaki adımları uygulamanız önemlidir:
- Güvenlik yazılımlarınızı güncelleyin ve izleyin.
- Ağda gereksiz portları kapatın.
- Bilgisayarınızdaki şüpheli yazılımları tespit etmek için düzenli olarak tarama yapın.
- Phishing e-postalarına karşı dikkatli olun ve bilinmeyen kaynaklardan gelen bağlantıları açmayın.
Güvenliğinizi artırmak için bu önlemleri uygulayarak siber saldırılara karşı daha dirençli hale gelebilirsiniz.
