Gizli Tehditler ve Sogou Zhuyin Operasyonu
Son yıllarda, siber saldırılar ve malware (kötü amaçlı yazılım) olayları, özellikle Asya’nın doğusunda, hızla artış gösterdi. Bu bağlamda, Sogou Zhuyin adında bir giriş yöntemi editörü (IME) yazılımıyla ilişkilendirilen tercih edilen güncelleme sunucusu üzerinde yapılan bir istihbarat kampanyası dikkat çekiyor. Araştırmalara göre, bu kampanya sırasında birçok zarar veren yazılım türü dağıtıldı ve hedeflenen kullanıcılar arasında siyasi muhalifler, gazeteciler ve iş liderleri yer aldı.
Tehdit Aktörleri ve Yöntemleri
Trend Micro araştırmacıları, bu kampanyayı TAOTH olarak kodladı. Çalışmalarına göre, saldırganlar, zorla güncellenen yazılımların yanı sıra, sahte bulut depolama ve oturum açma sayfalarını kullanarak kullanıcıların hassas bilgilerini ele geçirmeye çalıştılar. Araştırmacılar, “Saldırganlar, iyice sızmış güncelleme sunucularını kullanarak birden fazla malware ailesini dağıttılar” dedi. Bu bağlamda, C6DOOR ve GTELAM gibi zararlı yazılımlar öne çıkıyor.
Saldırı, Ekim 2024 itibarıyla güncellenecek olan bir saha bağlı sahte alan adı kullanarak gerçekleştirildi. Sogou Zhuyin’in resmi güncellemelerinin durduğu tarihe kadar süren bir boşluktan faydalanarak, zararlı yazılımlar yaymak için bu alan adını ele geçirdiler. Araştırmalara göre, bu eylem birkaç yüz kurbanı etkiledi.
Malware Türleri ve Çalışma Şekilleri
Yayımlanan zararlı yazılım türleri, genellikle uzak erişim (RAT), bilgi hırsızlığı ve arka kapı işlevleri gibi değişik maksatlara hizmet ediyor. Saldırganlar, tespit edilmekten kaçınmak için üçüncü taraf bulut hizmetlerini kullanarak, bağlantılarını gizlemeyi başardılar. Örneğin, Google Drive gibi meşru bir bulut depolama hizmetini veri sızdırma noktası olarak kullanarak, zararlı ağ trafiğini gizliyordular.
Saldırı zinciri, kullanıcıların Sogou Zhuyin’in resmi kurulumunu indirip yüklemesiyle başlıyor. Ancak, yükleme işlemi sırasında zararlı etkinlikler başlıyor ve birkaç saat sonra otomatik güncelleme süreci tetikleniyor. Bu süreç, kurulumdan sonra ZhuyinUp.exe adlı güncelleyici bir dosyanın zararlı bir yapılandırma dosyasını indirmesiyle devam ediyor.
Zararlı Yazılımlar ve Özellikleri
Saldırganlar, aşağıdaki üzere bazı önemli malware türlerini yaydılar:
TOSHIS: İlk tespiti Aralık 2024’te gerçekleştirilen bu yükleyici, diğer zararlı yazılım bileşenlerini dış sunuculardan almak üzere tasarlanmıştır.
DESFY: Mayıs 2025’te ilk olarak belge isimlerini toplayarak çalışmaya başlayan bir casus yazılımdır.
GTELAM: Aynı tarihte tespit edilen bu casus yazılım, belirli bir uzantıya sahip dosyaları toplamakta ve bilgileri Google Drive’a aktarmaktadır.
C6DOOR: HTTP ve WebSocket protokollerini kullanarak komut ve kontrol işlevi gören bir arka kapıdır. Sistemin bilgilerini toplarken çeşitli komutları da uygulayabilmektedir.
Kimlik Avı ve Spear-Phishing Operasyonları
TOSHIS’in, bu hedeflere ulaşabilmek için kimlik avı siteleri üzerinden dağıtıldığı görülüyor. Spear-phishing kampanyaları, sahte giriş sayfalarıyla iki aşamalı bir yaklaşım sergiliyor. Ücretsiz kuponlar veya PDF okuyucuları gibi aldatıcı içerikler aracılığıyla kullanıcıların OAuth izni vermeleri sağlanıyor.
Bu kimlik avı e-postalarında yer alan zararlı URL’ler ve yanıltıcı belgeler, kullanıcının kötü niyetli içerikle etkileşimini artırarak, çok aşamalı bir saldırı dizisinin başlatılmasına yol açıyor.
Öneriler ve Önlemler
Sogou Zhuyin operasyonu gibi tehditlerle mücadele edebilmek için kurumların, desteklenmeyen yazılımları düzenli olarak denetlemeleri ve gereken durumlarda bu yazılımları kaldırmaları veya güncellemeleri önerilmektedir. Kullanıcıların da bulut uygulamalarının talep ettiği izinleri dikkatlice incelemeleri gerekir.
Trend Micro, “Saldırıların çoğunluğunda, saldırganlar düşük profille çalışarak hedeflerin veri profillemesini yapmayı amaçladı” diyerek, bu tür tehditlere karşı proaktif önlemler alınması gerektiğini vurguladı.
