Giriş
Yeni keşfedilen GoSerpent adlı kötü amaçlı yazılım, Güneydoğu Asya’daki hükümet ve diplomatik varlıklara yönelik siber saldırılarda kullanılmaya başlandı. Bu yazılım, uzun vadeli erişim ve istihbarat toplama amacı gütmektedir.
Saldırı Nasıl Çalışıyor?
Rus siber güvenlik firması Kaspersky tarafından Şubat 2026’da tespit edilen GoSerpent, bir dış sunucu ile iletişim kurarak sistemdeki hassas verilerin toplanması ve kimlik bilgisi dökümü yapmaktadır. GoSerpent malware’in, ikincil yükleri dağıtarak veri toplama amaçlı bir araç olan ThumbcacheService ile verileri exfiltrate etmesi hedeflenmektedir.
Kötü amaçlı yazılım, şifrelenmiş ve Base64 ile kodlanmış komut satırı argümanları alarak çalışmaktadır. Bu argümanlar, komut ve kontrol (C2) adresini ve iletişim şifresini içermektedir. Şifre çözüldükten sonra, backdoor C2 sunucusuna şifreli bir bağlantı ile bağlanmakta ve iletişim şifresinin SHA256 hash değeri şifreleme anahtarı olarak kullanılmaktadır.
Etkilenen Sistemler
GoSerpent çeşitli komutları desteklemektedir:
- Sunucuya aktif enfekte durumu bildirme
- Belirli bir portta dinlemeye başlama
- Dinleme portunu kapatma
- Uzaktan bir sunucuya bağlanma
- Enfekte makinede bir shell açma
- Sunucuya dosya veya dizin yükleme
- Sunucudan indirme yapma
- Enfekte makinede SOCKS5 proxy başlatma
- Bağlı bir düğüme yönlendirme yapma
GoSerpent, kompromize olmuş makineler üzerinden trafiği yönlendirmek için SOCKS5 proxy sunucuları oluşturabilmektedir. Ayrıca, ThumbcacheService gibi diğer kötü amaçlı araçları da dağıtarak daha fazla veri toplamaktadır.
Diğer Kötü Amaçlı Araçlar
Saldırıların süresince kullanılan diğer araçlar şunlardır:
- McMx RAT: Temel bir Go tabanlı proxy ve uzaktan erişim aracı.
- ThumbcacheService: Gelişmiş dosya toplama mekanizması ile GoSerpent’i destekleyen bir DLL.
- Mimikatz: Kimlik bilgilerini çıkarmak için LSASS sürecinden bellek dökümü yapar.
- QuarksDumpLocalHash: Yerel hesap parolası hash’lerini SAM kayıt defterinden çıkarır.
Yeni Araçlar ve İlerleme
Mayıs 2026’da, siber suçlular tekrar enfekte ortamda tespit edilerek yeni bir araç seti dağıtmıştır:
- Stowaway: SOCKS5 proxy, port yönlendirme ve uzaktan shell erişimi gibi özellikleri olan bir araç.
- TmcLoader: Şifrelenmiş yüklemleri içeren bir C++ yükleyici modülü.
- TmcPayload: Kurbanın makinesinden hassas verileri exfiltrate etmek için kullanılır.
Önerilen Önlemler
Siber güvenlik uzmanı Kaspersky, bu saldırı zincirinin stratejik olarak çeşitli araçların dağıtımı ile oluşturulduğuna dikkat çekmektedir. Kullanıcıların aşağıdaki önlemleri uygulamaları önemlidir:
- Şirket içi sistemler için en son güvenlik güncellemelerini uygulayın.
- Gereksiz portları kapatın ve güvenlik duvarlarını optimize edin.
- Kimlik bilgilerinizi korumak için Mimikatz benzeri araçları tespit edecek güvenlik yazılımları kullanın.
Gizli veri toplama ve exfiltrasyonuna karşı korunma adına, öncelikle sistemlerinizi güncellemeniz ve güvenlik duvarı ayarlarını gözden geçirmeniz gerekmektedir.


