Giriş
2025 yılında, Çin ile bağlantılı tehdit aktörlerinin “COOLCLIENT” adlı güncellenmiş bir arka kapıyı siber casusluk saldırılarında kullandığı gözlemlenmiştir. Bu tür saldırılar, enfekte olan sistemlerden kapsamlı veri hırsızlığına olanak tanımakta ve özellikle devlet kurumlarına yönelmektedir.
Saldırı Nasıl Çalışıyor?
Saldırılar, Mustang Panda olarak bilinen bir grup tarafından gerçekleştirilirken, bu grup aynı zamanda Earth Preta , Fireant , HoneyMyte , Polaris ve Twill Typhoon isimleriyle de tanınmaktadır. 2021 ile 2025 yılları arasında, bu grup, çeşitli yazılım ürünlerinden imzalı ikilikler kullanarak sistemlere sızmayı başarmıştır. Bitdefender (“qutppy.exe”) , VLC Media Player (“vlc.exe” olarak yeniden adlandırılmış “googleupdate.exe”) , Ulead PhotoImpact (“olreg.exe”) ve Sangfor (“sang.exe”) gibi yazılımlar, bu amaçla kullanılmaktadır.
Kaspersky’nin açıkladığına göre, COOLCLIENT, PlugX ve LuminousMoth enfeksiyonları ile birlikte ikincil bir arka kapı olarak kullanılır. COOLCLIENT, şifreli konfigürasyon verileri, shellcode ve bellek içi sonraki aşama DLL modülleri içeren, şifreli yükleyici dosyaları ile birlikte teslim edilmiştir. Bu modüller, kötü niyetli bir DLL yüklemek için meşru bir imzalı yürütülebilir dosya gerektiren DLL yan yükleme yöntemine dayanıyor.
Etkilenen Sistemler
Saldırılar, Myanmar, Moğolistan, Malezya ve Rusya’daki devlet kurumlarını hedef almaktadır. COOLCLIENT, sistem ve kullanıcı bilgilerini, anahtar vuruşları, pano içerikleri ve HTTP proxy kimlik bilgilerini toplamak üzere tasarlanmıştır. Komut ve kontrol (C2) sunucusundan TCP üzerinden gönderilen talimatlara dayanarak çalışır. Ayrıca, ters bir tünel veya proxy kurabilir ve bellek içinde ek eklentileri alıp çalıştırabilir. Aşağıda desteklenen bazı eklentiler sıralanmıştır:
- ServiceMgrS.dll : Kurban sistemdeki tüm hizmetleri yönetmek için bir hizmet yönetim eklentisi.
- FileMgrS.dll : Dosyaları listeleme, oluşturma, taşımak, okuma, sıkıştırma, arama veya silme işlemlerini yapan bir dosya yönetim eklentisi.
- RemoteShellS.dll : “cmd.exe” sürecini başlatarak operatörün komut vermesine ve sonuçları yakalamasına olanak tanıyan uzaktan bir shell eklentisi.
Çözüm ve Korunma
Mustang Panda , Google Chrome, Microsoft Edge ve diğer Chromium tabanlı tarayıcılardan kaydedilmiş oturum açma kimlik bilgilerini çıkarmak için üç farklı hırsız programı da dağıtmaktadır. Ayrıca, cURL komutu kullanarak Mozilla Firefox tarayıcı çerez dosyasını Google Drive ‘a gönderme girişimleri gözlemlenmiştir.
Siber güvenlik uzmanları, bu tür saldırılara karşı korunmak için aşağıdaki önlemleri önermektedir:
- Güvenlik yamalarını en kısa sürede uygulamak.
- Islak pasta veya benzeri tehditler için ek güvenlik çözümleri kullanmak.
- Mevcut güvenlik duvarı ayarlarını gözden geçirip, gereksiz portları kapatmak.
Sonuç olarak, kullanıcılara güncellemelerini yapmaları, gereksiz portları kapatmaları ve sistemlerinde güvenlik yazılımlarını güncel tutmaları önerilmektedir. Siber tehditler sürekli gelişiyor ve bu nedenle proaktif bir yaklaşım benimsemek hayati önem taşımaktadır.
