Yeni Tehdit: Amaranth Dragon’ın WinRAR Açığını Kullanması
Son dönemlerde siber güvenlik alanında dikkat çeken bir tehdit aktörü, CVE-2025-8088 güvenlik açığını kullanarak WinRAR uygulamasını hedef almış ve bu sayede hükümet ile güvenlik ajanslarına yönelik casusluk saldırıları gerçekleştirmiştir. Bu olay, hem güncel güvenlik zafiyetlerini ortaya koyması hem de APT41 gibi devlet destekli gruplarla ilişkilendirilmesi açısından önem taşımaktadır.
Saldırı Nasıl Çalışıyor?
Amaranth Dragon grubu, meşru araçları ve özel olarak geliştirilmiş Amaranth Loader‘ı kullanarak komut ve kontrol (C2) sunucularından şifreli yükleri dağıtmaktadır. Bu saldırılar, Cloudflare altyapısının arkasında gizli bir şekilde yapılandırılmış sunucuları kullanarak daha hassas hedefleme yapılmasını sağlamaktadır.
CVE-2025-8088 açıkları,Windows’un Alternatif Veri Akışları (ADS) özelliğinden yararlanarak zararlı dosyaların rastgele konumlara yazılmasına olanak tanımaktadır. Bu açık, 2025 ortalarından itibaren birden çok tehdit aktörü tarafından sıfır gün saldırılarında istismar edilmiştir.
- Saldırganlar, sistemin Başlangıç klasörüne kötü amaçlı yazılımlar yerleştirerek kalıcılık sağlamaktadır.
- GTIG ‘den gelen son rapora göre, bu açık hala birçok tehdit grubu tarafından aktif olarak kullanılmaktadır.
- Amaranth Dragon, CVE-2025-8088 açığını, çalışır bir istismarının kamuya açıklandığı günden sadece dört gün sonra, 18 Ağustos 2025’te kullanmaya başladı.
Etkilenen Sistemler
Amaranth Dragon, Singapur, Tayland, Endonezya, Kamboçya, Laos ve Filipinler gibi ülkelerdeki kuruluşları hedef almıştır. Araştırmacılar, bu grubu Mart 2025’ten beri takip etmekte ve gerçekleştirdikleri birçok kampanyayı, belirli coğrafi sınırlamalarla sınırlı tutarak yürüttüklerini tespit etmiştir.
Çözüm ve Korunma
Kötü amaçlı etkinlikleri tespit etme ve önleme konusunda örgütlerin atması gereken adımlar:
- WinRAR versiyonunuzu 7.13 veya daha üzeri bir sürüme güncelleyin (mevcut en son sürüm 7.20‘dir).
- İnternet üzerinden gelen şüpheli trafiği izleyin ve gereksiz portları kapatın.
- Kötü amaçlı dosyaları tespit etmek için YARA kurallarını kullanın.
Sonuç olarak, CVE-2025-8088 açıklarının yaygın istismar edilmesi göz önüne alındığında, organizasyonların ilgili güncellemeleri bir an önce gerçekleştirmesi ve gerekli güvenlik önlemlerini alması kritik öneme sahiptir. Sistemlerinizi korumak için proaktif adımlar atmak, olası bir saldırıdan korunmanıza yardımcı olacaktır.
