Gölge İplik Örgüsü: ShadowSilk Tehdidi
Son günlerde, Central Asia ve Asia-Pacific (APAC) bölgesindeki hükümet organlarına yönelik yeni bir saldırı faaliyetleri grubu olan ShadowSilk, dikkat çekici bir tehdit profili oluşturmuştur. Group-IB araştırma kuruluşu, bu tehdit grubu tarafından hedef alınan yaklaşık otuz kurban tespit etmiştir. Saldırılar, veri sızdırma amacıyla gerçekleştirilmekte olup, gruba ait araç ve altyapıların, daha önceki tehdit aktörleri olan YoroTrooper, SturgeonPhisher ve Silent Lynx ile örtüştüğü belirtilmiştir.
Hedef Ülkeler ve Sektörler
ShadowSilk’in kampanyalarının kurbanları arasında Özbekistan, Kırgızistan, Myanmar, Tacikistan, Pakistan ve Türkmenistan gibi ülkelerdeki hükümet kuruluşları bulunmaktadır. Bu gruba ait saldırılar, daha çok devlet kurumlarına yönelirken, enerji, sanayi, perakende ve ulaşım sektörlerine de ilişkin hedefler bulunmaktadır. Bu durum, tehditlerin sadece hükümet organları ile sınırlı olmadığını göstermektedir.
Çift Dillilik ve Tehditin Doğası
Grubun operasyonlarının, Rusça konuşan geliştiriciler ile Çince konuşan operatörler arasında eşgüdüm içerisinde yürütüldüğü ifade edilmektedir. Nikita Rostovcev ve Sergei Turner gibi araştırmacılar, bu iki alt grubun iş birliğinin tam doğasının belirsiz kaldığını vurgulamaktadır. YoroTrooper grubunun Mart 2023’te kayıt altına alınması, bu tür saldırıların geçmişinin oldukça eski olduğunu göstermektedir.
Saldırı Yöntemleri ve Araçlar
ShadowSilk, saldırılarında spear-phishing e-postalarını başlangıç erişim vektörü olarak kullanmaktadır. Bu e-postalar, şifre korumalı arşivler içermekte ve zararlı yazılımların yüklenmesine olanak tanımaktadır. Grubun, Windows Registry‘sini değiştirme yoluyla devamlılığı sağladığı da belirtilmektedir.
Ayrıca, Drupal ve WordPress gibi popüler içerik yönetim sistemlerinde bilinen açıkları kullanarak sistemlere sızmakta ve kötü niyetli yükleri barındırmak üzere meşru web sitelerini ele geçirmektedir. Grubun kullandığı araçlar arasında FOFA, Fscan, Gobuster, Dirsearch, Metasploit ve Cobalt Strike gibi çeşitli keşif ve penetrasyon test araçları bulunmaktadır.
Sızma ve Veri Hırsızlığı
ShadowSilk, içeri sızdığı sistemlerde web shell‘ler kullanarak hareket yürütebilmekte ve yetki yükseltme gerçekleştirmektedir. ANTSWORD, Behinder, Godzilla ve FinalShell gibi araçlarla, verileri sızdırmak için daha derinlemesine enjekte olmaktadır.
Saldırılar, hedef alınan bilgi sistemlerine Python tabanlı uzaktan erişim trojanları (RAT) yüklenerek devam etmekte ve bu trojanlar, komut alabilmekte ve verileri Telegram botlarına aktarabilmektedir. Bu durum, zararlı trafiğin meşru bir mesajlaşma aktivitesi gibi görünmesini sağlamakta, bu da tespit edilme olasılığını düşürmektedir.
Gelişen Tehdit Profili ve Gelecek Riskler
ShadowSilk’in saldırı yöntemleri, zamanla evrilmekte ve daha sofistike hale gelmektedir. Grubun kullanmış olduğu Cobalt Strike ve Metasploit modülleri, ekran görüntüleri ve webcam fotoğrafları almak amacıyla da kullanılmaktadır. PowerShell scriptleri ise belirli uzantılara sahip dosyaları taramak ve bu dosyaları ZIP arşivine kopyalamak için çalışmaktadır.
Group-IB, YoroTrooper grubunun operatörlerinin Rusça konuştuğunu belirlerken, Kırgızistan hükümet web sitelerinin Çince’ye otomatik olarak çevrilmesi ve bir Çince dil açık bulucu içeren ekran görüntüleri, grubun Çince konuşan operatörleri de barındırdığına işaret etmektedir.
Sonuç
ShadowSilk, Central Asia ve APAC bölgesindeki hükümet sektörlerine yönelik saldırılara odaklanmakta ve hala yüksek bir faaliyet düzeyine sahip olduğunu ortaya koymaktadır. Bu durum, uzun vadeli tehditlerin önlenmesi ve veri sızdırmanın engellenmesi açısından izlememizin önemini ortaya koymaktadır. Tehdit tehdidi, bölgesel güvenliği tehdit eden bir faktör olarak karşımızda durmaktadır ve dolayısıyla bu alandaki geliştirme ve güvenlik önlemlerine sürekli yatırımlar yapılması gerekmektedir.
