Giriş
Çin merkezli siber suç grubu Silver Fox, Rusya ve Hindistan’daki kuruluşları hedef alan yeni bir kampanya ile gündeme geldi. Bu kampanyada, ABCDoor isimli zararlı yazılım kullanılarak gerçekleştirilen saldırılar, kesinlikle dikkate alınması gereken kritik bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Silver Fox, 2025 Aralık ayında Hindistan Gelir İdaresi’nden gelen resmi bildirimleri taklit eden phishing e-postaları aracılığıyla saldırılarına başlamıştır. Bu e-postalar, kullanıcıları vergi ihlalleri içeren bir arşiv indirmeye yönlendirmektedir. Kaspersky’nin açıklamasına göre, bu kampanya sırasında gönderilen phishing e-postalarının yapısı aşağıdaki gibidir:
- Resmi vergi inceleme bildirimleri olarak tasarlanmış e-postalar.
- Kullanıcıların, içerisinde zararlı yazılım bulunan bir arşiv indirmelerini istemek.
- Arşiv içinde, halka açık bir kaynaktan alınan modifiye edilmiş bir Rust tabanlı yükleyici bulunmaktadır.
Bu yükleyici, tanınmış bir arka kap olan ValleyRAT’ı indirip çalıştırmaktadır.
Etkilenen Sistemler
Saldırının etkisinin geniş olduğu tahmin edilmektedir ve şu sektörler üzerinde yoğunlaşmaktadır:
- Sanayi
- Danışmanlık
- Perakende
- Taşımacılık
Ocak ayı başından Şubat ayı başına kadar, 1,600’den fazla phishing e-postası tespit edilmiştir.
Teknik Ayrıntılar
Phishing e-postalarından birinde bulunan PDF dosyası, kullanıcının “abc.haijing88[.]com” adresinden bir ZIP veya RAR arşivi indirmesine yönlendiren iki tıklanabilir bağlantı içermektedir. Arşivde yer alan yürütülebilir dosya, sahte bir PDF dosyası olarak görünmekte, bu dosya RustSL isimli açık kaynaklı bir yükleyici olarak modifiye edilmiştir. Silver Fox’un RustSL’yi ilk kez kullanımı 2025 Aralık ayına dayanmaktadır.
RustSL’nin amacı, şifrelenmiş zararlı yükü açığa çıkarmak ve sanal makineleri veya kum sandıkları tespit etmek için coğrafi engeller ve ortam kontrolü yapmaktır. Özelleştirilmiş versiyonu, Hindistan, Endonezya, Güney Afrika, Rusya ve Kamboçya’yı kapsayan bir coğrafi liste içermektedir.
Yükleyicinin bir varyantı, saldırganların hedef sistemde kalıcılık sağlamak için Phantom Persistence yöntemini kullanmaktadır. Bu yöntem, sistem kapanış sinyalini durdurup, zararlı yazılımı güncelleme kılıfında yeniden başlatma işlemini başlatmaktadır.
ABCDoor’un İşlevleri
ValleyRAT zararlı yazılımı, komut ve kontrol (C2) iletişimi yaparak çeşitli işlemleri yerine getirmektedir. Saldırının bir parçası olarak, hedef sistemde kurulan ABCDoor, aşağıdaki işlevleri gerçekleştirmektedir:
- Uzaktan fare ve klavye kontrolü sağlamak.
- Sistem süreçlerini yönetmek.
- Veri toplamak (örneğin, ekran görüntüleri almak).
- Panoya içerik akışı yapmak.
Çözüm ve Korunma
Hedeliklerin en fazla olduğu bölgelerde, özellikle Hindistan, Rusya ve Endonezya’da bu tür saldırılara karşı uyanık olmak kritik önem taşımaktadır. Kullanıcıların aşağıdaki önlemleri alması önerilmektedir:
- Güncellemeleri düzenli olarak kontrol edin ve uygulayın.
- Phishing e-postalarına karşı dikkatli olun.
- Port kapatma işlemlerini gerçekleştirin; özellikle dışarıya açık olanlar.
- Antivirüs yazılımlarınızı güncel tutun ve düzenli taramalar yapın.
Silver Fox grubunun geliştirdiği bu karmaşık saldırı yöntemleri karşısında, gerekli önlemleri almak ve sistemlerinizi korumak için harekete geçmek elzemdir.
