Silver Fox’un Hindistan’ı Hedef Alması
China merkezli siber suç grubu Silver Fox, son kampanyalarında Hindistan’ı hedef almaya başladı. Özel olarak gelir vergisiyle ilgili bilgi bahanesiyle yapılan phishing e-postaları aracılığıyla, kullanıcıların bilgisayarlarına ValleyRAT (Winos 4.0 olarak da bilinir) isimli modüler bir uzaktan erişim trojanı yayımlanıyor.
Saldırı Yöntemleri ve Strateji
CloudSEK araştırmacıları Prajwal Awasthi ve Koushik Pal’ın ayrıntılı analizine göre, bu saldırı, DLL hijacking ve ValleyRAT’ın modüler yapısını kullanarak kalıcılığı sağlıyor. Silver Fox grubu, daha önce çeşitli kampanyalarla gündeme gelmiş ve siber casusluktan finansal kazanç elde etmeye kadar geniş bir yelpazede faaliyet göstermiştir.
ValleyRAT Enfeksiyon Zinciri
CloudSEK’in belgelerine göre, sahte PDF dosyalarıyla gönderilen e-postalar, alıcıyı “ggwk[.]cc” alanına yönlendiriyor. Buradan “tax affairs.zip” isimli bir ZIP dosyası indiriliyor. İçerisinde, Nullsoft Scriptable Install System (NSIS) kullanılarak oluşturulmuş bir yükleyici bulunuyor.
Sahte Yükleyici ve Zararlı DLL
ZIP dosyasındaki yükleyici, Thunder isimli meşru bir uygulamanın çalıştırıcısını ve rogue bir DLL’yi (“libexpat.dll”) içeriyor. Bu DLL, Windows güncelleme hizmetini devre dışı bırakıyor ve zararlı yükleyiciyi etkinleştirmek için Donut yükleyicisi ile etkileşime giriyor.
ValleyRAT’ın Özellikleri
ValleyRAT, uzaktaki bir sunucu ile iletişim kurarak komut beklemekte ve anahtar kaydı, kimlik bilgisi toplama gibi görevler gerçekleştirmek için özel modüller kullanmaktadır. Sezgisel bir mimari ile tasarlandığı için, saldırganlar ihtiyaç duydukları özel yetenekleri hızlıca devreye alabiliyorlar.
Kapsamlı Hedefleme Stratejileri
Silver Fox, hedeflerini genellikle Çince konuşan bireyler ve kuruluşlar ile sınırlı tutarken, zamanla geniş bir yelpazeye yayılmayı başardı. Kamu, mali, sağlık ve teknoloji sektörlerindeki hedefleri içerisinde barındıran saldırılar, SEO zehirlenmesi ve phishing yöntemleriyle gerçekleştirilmektedir.
Phishing ve SEO Zehirlenmesi
Gelişmiş SEO teknikleri ile zararlı yükleyiciler, iletişim araçları ve diğer popüler yazılımların sahte sitelerinde dağıtılıyor. Örneğin, Microsoft Teams ve diğer uygulamaların kopyalarını taklit eden sahte web siteleri kurulmakta. Bu durum, siber saldırganların kurbanlarını hedef almasını kolaylaştırıyor.
Sonuç ve Öneriler
Olası saldırılara karşı dikkatli olmak ve tanımadığınız kaynaklardan gelen e-postaları açmamak, bu tür oltalama girişimlerini önlemek için önemlidir. Ayrıca, bir antivirus yazılımının ve güvenlik duvarının sürekli güncel tutulması da kullanıcıları koruyacaktır.
