Giriş
Son dönemde, Transparent Tribe adıyla bilinen tehdit aktörünün Hindistan’daki hükümet, akademik ve stratejik kuruluşları hedefleyen yeni bir siber saldırı kampanyasına imza attığı bildirilmektedir. Bu saldırılar, uzaktan erişim trojanı (RAT) kullanarak saldırganların ele geçirilen sistemler üzerinde kalıcı kontrol sağlamalarını mümkün kılmaktadır.
Saldırı Nasıl Çalışıyor?
Transparent Tribe, aynı zamanda APT36 olarak da bilinen bir siber casusluk grubudur. Grubun kullandığı saldırı yöntemleri arasında, kullanıcıların dikkatini çekmemek için sahte PDF belgeleriyle gizlenmiş Windows kısa yolu (LNK) dosyalarının kullanımı yer almaktadır. Son saldırılar, spear-phishing e-postaları aracılığıyla başlamakta ve bu e-postalarda, PDF olarak gizlenen bir ZIP dosyası bulunmaktadır.
Açılan dosya, uzaktan HTML Uygulama (HTA) skripti yürüterek, final RAT yükünü doğrudan belleğe yükler. HTA dosyası, aynı zamanda kullanıcıların şüphelenmemesi için sahte bir PDF belgesini indirip açar. CYFIRMA tarafından yayınlanan bir teknik rapora göre, bu davranış kullanıcıların sistemin güvenliğinden emin olmalarını sağlamak adına tasarlanmıştır.
Etkilenen Sistemler
Malware, kurban sistemlerinde yüklü antivirüs çözümlerine bağlı olarak farklı kalıcılık yöntemleri benimsemektedir. Örneğin:
- Kaspersky tespit edildiğinde, “C:UsersPubliccore” dizininde çalışma dizini oluşturur ve obfuscate edilmiş HTA yükünü diske yazarak başlangıç klasörüne bir LNK dosyası bırakır.
- Quick Heal tespit edildiğinde, başlangıç klasörüne bir batch dosyası ve kötü niyetli bir LNK dosyası ekler.
- Avast, AVG veya Avira tespit edildiğinde, yükü doğrudan başlangıç dizinine kopyalar ve çalıştırır.
- Tanınmış herhangi bir antivirüs çözümü tespit edilmezse, bir combinatie batch dosyası yürüterek, kayıt defteri bazlı kalıcılık sağlamak için arka planda çalışır.
Malware’nin sonraki aşamasında ise, bir DLL dosyası olan iinneldc.dll, uzaktan sistem kontrolü, dosya yönetimi ve veri sızdırma gibi işlevleri yerine getiren tam özellikli bir RAT olarak işlev görmektedir.
Çözüm ve Korunma
Son olarak, APT36’nın kalıcı ve stratejik odaklı bir tehdit olduğunu belirtmekte fayda var. Kullanıcıların, aşağıdaki önlemleri alması kritik önem taşımaktadır:
- Tüm yazılımlarınızı ve işletim sistemlerinizi en son güncellemelerle güncelleyin.
- Gerçekten ihtiyaç duymadığınız sürece, etkisiz hale getirilmiş veya kapalı olan hizmetleri açık bırakmayın.
- Antivirüs yazılımları kullanıyorsanız, bunların güncel olduğundan emin olun.
- Tanımadığınız e-postalardan gelen ek dosyaları açmamaya dikkat edin.
Sayfalarınızı ve sistemlerinizi güncel tutarak, olası tehditlerle başa çıkmak ve siber güvenliğinizi artırmak mümkün olacaktır.
