Siber Güvenlik Tehlikeleri: Phantom Stealer E-postaları
Siber güvenlik araştırmacıları, Rusya’daki çeşitli sektörleri hedef alan aktif bir phishing kampanyası hakkında detayları paylaştı. Bu kampanyada, zararlı ISO görüntü dosyaları aracılığıyla Phantom Stealer adlı kötü amaçlı yazılım dağıtılmakta. Seqrite Labs tarafından “Operation MoneyMount-ISO” olarak adlandırılan bu aktiviteler, öncelikle finans ve muhasebe alanındaki kuruluşları hedef alıyor. İkincil hedefler ise tedarik, hukuk ve bordro gibi alanlardaki işletmeler.
Kampanyanın Yapısı ve İlk Aşamalar
Phishing e-postaları, alıcıları bir banka transferini onaylamaya teşvik eden sahte ödeme onayı çekiciliği kullanıyor. E-postanın ekinde, ek bilgi içerdiği iddia edilen bir ZIP arşivi bulunmakta. Ancak bu arşiv, sistemde sanal bir CD sürücüsü olarak monte edilen bir ISO dosyası içeriyor. ISO dosyası (“Подтверждение банковского перевода.iso” veya “Bank transfer confirmation.iso”) çalıştırıldığında, içinde gömülü bulunan DLL (“CreativeAI.dll”) ile Phantom Stealer’ı başlatmak üzere tasarlanmıştır.
Phantom Stealer’ın Yetenekleri
Phantom Stealer, Chromium tabanlı tarayıcılarda yüklü kripto para cüzdanı uzantılarından ve masaüstü cüzdan uygulamalarından veri çıkarma yeteneğine sahiptir. Bunun yanı sıra, dosyaları almak, Discord kimlik doğrulama jetonlarını, tarayıcı parolalarını, çerezlerini ve kredi kartı bilgilerini çalma yeteneğine sahiptir. Ayrıca, panoya kopyalanan içerikleri izleyebilir, tuş vuruşlarını kaydedebilir ve sanal ortamları tespit etmek için çeşitli kontroller yapar. Tespit edilirse, çalıştırılmayı durdurur.
Veri sızıntısı, bir Telegram botu veya saldırganın kontrolündeki bir Discord webhook’u aracılığıyla gerçekleştirilir. Ayrıca, veriler bir FTP sunucusuna da transfer edilebilir.
İkinci Tehdit: DUPERUNNER
Son aylarda, Rusya’daki insan kaynakları ve bordro departmanları da, iç bonuslar veya finansal politikalarla ilgili lures kullanarak phishing e-postaları ile hedef alındı. Bu kampanya, çevrimiçi “AdaptixC2” kontrol çerçevesini yükleyen daha önce belgelenmemiş bir implant olan DUPERUNNER’ı dağıtıyor. Bu kampanaya “DupeHike” adı verildi ve UNG0902 adında bir tehdit kümesine atfedildi.
ZİP dosyasının, sahte hedeflerle dolu PDF ve LNK uzantılı dosyalar içeren bir kaynak olarak kullanıldığı bildirildi. LNK dosyası (“Документ_1_О_размере_годовой_премии.pdf.lnk” gibi), “powershell.exe” kullanarak DUPERUNNER’ı harici bir sunucudan indirmekte. İmplantın ana sorumluluğu, sahte bir PDF’yi almak ve gösterirken, “explorer.exe” gibi meşru bir Windows sürecine AdaptixC2’yi enjekte etmektir.
Diğer Tehditler ve Sonuçlar
Diğer phishing kampanyaları, hukuk, finans ve havacılık sektörlerini hedef alarak Cobalt Strike ve Formbook gibi kötü amaçlı araçları dağıtmakta. Kompromit olmuş Rus şirketlerinin e-posta sunucuları bu phishing mesajlarını göndermekte kullanılıyor. Fransız siber güvenlik firması Intrinsec, Rus havacılık endüstrisini hedef alan girişimlerin Ukrayna ile ilgili hacktivistlere atfedildiğini belirtiyor. Haziran ile Eylül 2025 arasında tespit edilen bu aktiviteler, Hive0117, Operation CargoTalon ve Rainbow Hyena ile örtüşmekte.
Bu tür eylemler, mevcut Ukrayna çatışması sırasında Rus ordusu ile işbirliği yapan kuruluşları hedef almayı amaçlamaktadır. Ülke içindeki değişen dinamikler, siber güvenlik tehditlerini daha da tehlikeli hale getirmekte ve dikkatli olunması gerektiğini göstermektedir.
