Siber Saldırılar
0

Rusya’yı Hedef Alan Yeni Aşamalı Phishing Saldırısı Ortaya Çıktı

Rusya’yı Hedef Alan Yeni Aşamalı Phishing Saldırısı Ortaya Çıktı
Yazı Özetini Göster

Fortinet FortiGuard Labs, Rusya’yı hedef alan son derece sofistike, çok aşamalı bir phishing kampanyası tespit etti. Kampanya, iş temali sahte belgelerle başlıyor ve kurbanları Amnesia RAT (Uzaktan Erişim Truva Atı) ve ransomware ile enfekte ediyor. Saldırının en dikkat çekici yönü, GitHub ve Dropbox gibi yasal bulut servislerini kötüye kullanması ve Microsoft Defender’ı etkisiz hale getiren “defendnot” aracını kullanması. Bu kampanya, modern kötü amaçlı yazılım saldırılarının ne kadar gelişmiş olabileceğini ve hiçbir yazılım açığı kullanmadan tam sistem ele geçirmenin mümkün olduğunu gösteriyor. İşte Rusya’daki bu tehlikeli siber saldırının tüm detayları, teknik analizi ve korunma yöntemleri!

Saldırı Nasıl Başlıyor? Sosyal Mühendislik Tuzağı

Kampanya, klasik ama etkili bir sosyal mühendislik taktiğiyle başlıyor: iş temali belgeler. Saldırganlar, Rusça dosya adları içeren sıkıştırılmış arşivler (ZIP dosyaları) gönderiyor. Bu arşivler, kurumsal şirketlerin muhasebe, insan kaynakları ve iç idari departmanlarını hedefliyor. Arşiv içinde birden fazla sahte belge ve kötü amaçlı bir Windows kısayol dosyası (LNK) bulunuyor.

Kötü amaçlı dosya, çift uzantı hilesi kullanıyor: “Задание_для_бухгалтера_02отдела.txt.lnk” (Muhasebe 02 Departmanı için Görev.txt.lnk). Kullanıcılar bunu masum bir metin dosyası sanıyor ama aslında bir kısayol dosyası. Tıkladıklarında, arka planda kötü amaçlı PowerShell komutu çalışıyor.

İlk Aşama: PowerShell Loader

LNK dosyası çalıştırıldığında, GitHub üzerinde barındırılan bir PowerShell scriptini indiriyor (github[.]com/Mafin111/MafinREP111). Bu script, birinci aşama yükleyici olarak görev yapıyor. Script şu adımları gerçekleştiriyor:
• PowerShell konsolunu gizleyerek görünürlüğü azaltıyor
• Kullanıcının yerel uygulama verisi dizininde sahte bir metin belgesi oluşturuyor
• Bu sahte belgeyi otomatik olarak açarak kurbanı oyalıyor
• Telegram Bot API kullanarak saldırgana “birinci aşama başarılı” bildirimi gönderiyor
• 444 saniye (7.4 dakika) bekleme süresi koyuyor
• Ardından GitHub’dan Visual Basic Script (SCRRC4ryuk.vbe) indirip çalıştırıyor

Bu gecikme, güvenlik sistemlerinin şüphelenmemesi için kasıtlı olarak ekleniyor. 444 saniye boyunca kurban sahte belgeyi okurken, arka planda sessizce sonraki aşama hazırlanıyor.

GitHub ve Dropbox Kötüye Kullanımı: Çift Bulut Stratejisi

Kampanyanın en ilginç özelliklerinden biri, farklı payload türleri için farklı bulut servisleri kullanması. GitHub, scriptleri dağıtmak için kullanılıyor; binary (ikili) dosyalar ise Dropbox’ta barındırılıyor. Bu ayrım, birkaç avantaj sağlıyor:
• Tek bir servis kapatılsa bile diğeri çalışmaya devam ediyor
• Güvenlik sistemleri yasal bulut servislerini engellemekte zorlanıyor
• Saldırganlar payload’ları kolayca güncelleyebiliyor

Ayrıca, GitHub reposu üzerindeki scriptler sürekli güncellenebiliyor. Saldırganlar, saldırı zincirinde hiçbir değişiklik yapmadan payload’un işlevselliğini değiştirebiliyor. Bu, çok esnek ve dayanıklı bir altyapı sağlıyor.

Defendnot: Microsoft Defender’ı Kandırma Taktiği

Saldırının en kritik aşamalarından biri, defendnot aracının kullanımı. Defendnot, 2025’te bir güvenlik araştırmacısı (es3n1n) tarafından geliştirilen ve Microsoft Defender’ı kendi kendini devre dışı bırakmaya zorlayan bir araç. Nasıl çalışıyor?

Defendnot, Windows Security Center API’sini kötüye kullanarak sahte bir antivirüs ürününün sisteme yüklendiğini kayıt defterine yazıyor. Windows, aynı anda iki antivirüs programının çalışmasının sorun çıkarabileceğini düşündüğü için Microsoft Defender’ı otomatik olarak devre dışı bırakıyor. Ancak gerçekte hiçbir antivirüs yüklü değil; sadece kayıt defterinde sahte bir giriş var!

Bu teknik, saldırganların hiçbir yazılım açığı kullanmadan, tamamen yasal Windows özelliklerini kötüye kullanarak güvenlik mekanizmalarını atlatmasına olanak tanıyor. Microsoft, bu soruna karşı Tamper Protection (Kurcalama Koruması) özelliğini etkinleştirmeyi öneriyor.

Visual Basic Script: Gizli Kontrol Merkezi

İndirilen Visual Basic Script (VBScript), yoğun şekilde gizlenmiş (obfuscated) ve sonraki aşama payload’ları doğrudan bellekte oluşturuyor. Bu, diskte hiçbir iz bırakmadan kötü amaçlı yazılımı çalıştırmayı sağlıyor. Script, şu kontrolleri yapıyor:
• Yükseltilmiş ayrıcalıklarla (admin) çalışıp çalışmadığını kontrol ediyor
• Eğer admin değilse, User Account Control (UAC) istemini sürekli göstererek kullanıcıyı yetki vermeye zorluyor
• Her denemeden sonra 3 saniye (3000 milisaniye) bekliyor
• Kullanıcı evet deyene kadar istemi tekrarlıyor

Admin yetkisi aldıktan sonra, script bir dizi zararlı eylem gerçekleştiriyor.

Saldırının Ana Aşamaları: Kapsamlı Sistem Ele Geçirme

Script, admin yetkisi aldıktan sonra sistemi tamamen ele geçirmek için şu adımları atıyor:

1. Microsoft Defender İstisnaları Ekleme

PowerShell kullanarak Microsoft Defender’ın şu dizinleri taramayı atlamasını sağlıyor:
• ProgramData
• Program Files
• Desktop (Masaüstü)
• Downloads (İndirilenler)
• Sistem geçici dizini (Temp)

Bu istisnalar eklendikten sonra, bu dizinlere yerleştirilen kötü amaçlı dosyalar Defender tarafından taranmıyor.

2. Defender Bileşenlerini Kapatma

PowerShell komutlarıyla şu Defender özelliklerini devre dışı bırakıyor:
• Gerçek zamanlı koruma
• Bulut tabanlı koruma
• Davranış izleme
• Gelen dosya tarama

3. Defendnot ile Tam Devre Dışı Bırakma

Son darbe olarak defendnot aracını çalıştırıyor ve Defender’ı tamamen devre dışı bırakıyor. Bu noktada sistem güvenlik açısından çıplak kalıyor.

4. Çevre Keşfi ve Gözetleme

GitHub’dan indirilen özel bir .NET modülü kullanarak her 30 saniyede bir ekran görüntüsü alıyor. Bu görüntüler PNG formatında kaydediliyor ve Telegram bot üzerinden saldırgana gönderiliyor. Saldırgan, kurbanın gerçek zamanlı olarak ne yaptığını görebiliyor.

5. Windows Yönetim Araçlarını Engelleme

Kayıt defteri (Registry) üzerinden şu araçları devre dışı bırakıyor:
• Görev Yöneticisi (Task Manager)
• Komut İstemi (CMD)
• Kayıt Defteri Düzenleyicisi (Regedit)
• Sistem Geri Yükleme (System Restore)

Bu, kurbanın enfeksiyonu temizlemesini veya zararlı süreçleri sonlandırmasını engelliyor.

6. Dosya İlişkilendirme Hijacking

Belirli dosya uzantılarının (örneğin .txt, .doc, .pdf) açılmasını engelliyor ve bunun yerine kurbanı Telegram üzerinden saldırganla iletişime geçmeye yönlendiren bir mesaj gösteriyor. Bu, bir tür dijital fidye notu gibi çalışıyor.

Amnesia RAT: Kapsamlı Veri Hırsızlığı ve Uzaktan Kontrol

Güvenlik mekanizmaları devre dışı bırakıldıktan sonra, Dropbox’tan Amnesia RAT (“svchost.scr”) indiriliyor. Bu RAT, çok geniş kapsamlı veri hırsızlığı ve uzaktan kontrol yetenekleri sunuyor:

Çalınan Veriler:
• Web tarayıcısı verileri (şifreler, çerezler, geçmiş)
• Kripto para cüzdanları
• Discord, Steam, Telegram hesap bilgileri
• Sistem meta verileri (donanım, yazılım bilgileri)
• Ekran görüntüleri
• Webcam görüntüleri
• Mikrofon ses kayıtları
• Pano (clipboard) içeriği
• Aktif pencere başlıkları

Uzaktan Kontrol Yetenekleri:
• Süreç listeleme ve sonlandırma
• Shell komut çalıştırma
• Rastgele payload dağıtımı
• Ek kötü amaçlı yazılım yükleme

Tüm çalınan veriler HTTPS üzerinden Telegram Bot API’si kullanılarak saldırgana gönderiliyor. Büyük veri setleri için GoFile gibi üçüncü taraf dosya barındırma servisleri kullanılıyor ve indirme linkleri Telegram üzerinden paylaşılıyor.

Ransomware: Şifreleme ve Kripto Para Hırsızlığı

İkinci payload, Hakuna Matata ransomware ailesinden türetilmiş bir fidye yazılımı. Bu ransomware şu dosya türlerini şifreliyor:
• Belgeler (.doc, .docx, .pdf, .txt)
• Arşivler (.zip, .rar, .7z)
• Görüntüler (.jpg, .png, .gif)
• Medya dosyaları (.mp4, .mp3, .avi)
• Kaynak kodlar (.cpp, .py, .js)
• Uygulama varlıkları (.exe, .dll)

Şifreleme başlamadan önce, ransomware şifrelemeyi engelleyebilecek tüm süreçleri sonlandırıyor (örneğin veritabanı sunucuları, ofis uygulamaları). Ayrıca, çok sinsi bir özelliği daha var: clipboard kripto para cüzdanı değiştirme.

Ransomware, pano içeriğini sürekli izliyor ve eğer bir kripto para cüzdan adresi kopyalanırsa, bunu saldırganın kontrol ettiği cüzdan adresiyle değiştiriyor. Kurban farkında olmadan kendi parasını saldırgana gönderiyor!

WinLocker: Son Darbe

Enfeksiyonun son aşamasında WinLocker dağıtılıyor. Bu, kullanıcı etkileşimini kısıtlayan bir araç. Kurban artık bilgisayarını normal şekilde kullanamıyor; sadece fidye notunu ve saldırganın talimatlarını görebiliyor.

Hedef: Rusya’daki Kurumsal Kuruluşlar

Fortinet’in analizine göre, kampanya özellikle şu sektörleri hedefliyor:
• Finans kurumları (bankalar, sigorta şirketleri)
• Sağlık sektörü (hastaneler, sağlık BT sistemleri)
• Devlet kurumları
• Enerji ve kritik altyapı şirketleri
• Büyük kurumsal firmalar

Saldırganlar, bu sektörleri hedefliyor çünkü hassas veri ve finansal kazanç potansiyeli yüksek. İnsan kaynakları ve muhasebe departmanlarına yönelik saldırılar, genellikle başarı oranı yüksek çünkü bu departmanlar sürekli dış kaynaklardan belge alıyor.

Benzer Kampanyalar: Operation DupeHike

Fortinet’in raporladığı kampanyaya ek olarak, başka bir tehdit aktörü olan UNG0902’nin de Rus kurumlarını hedeflediği tespit edildi. “Operation DupeHike” adı verilen bu kampanya, Kasım 2025’ten beri devam ediyor ve DUPERUNNER implantı ile AdaptixC2 çerçevesini kullanıyor.

Bu kampanya da benzer taktikler kullanıyor: çalışan bonusları ve iç finansal politikalar temalı sahte belgeler, ZIP arşivleri içindeki kötü amaçlı LNK dosyaları, sistem profilleme ve C2 beacon indirme. Her iki kampanya da Rusya’daki kurumsal hedeflere odaklanıyor, bu da organize APT (Advanced Persistent Threat) gruplarının bölgede aktif olduğunu gösteriyor.

Korunma Yöntemleri: Nasıl Güvende Kalınır?

1. Çalışan Eğitimi:
• Beklenmeyen ekleri açmayın
• Çift uzantılı dosyalara dikkat edin (.txt.lnk, .pdf.exe)
• Gönderenin kimliğini doğrulayın

2. Teknik Önlemler:
• Tamper Protection’ı (Kurcalama Koruması) etkinleştirin
• PowerShell yürütme politikalarını kısıtlayın
• Makro ve script otomatik çalıştırmayı devre dışı bırakın
• Ağ segmentasyonu uygulayın

3. İzleme ve Tespit:
• Şüpheli API çağrılarını izleyin (Security Center API)
• Beklenmeyen Defender servis değişikliklerini tespit edin
• GitHub ve Dropbox’a beklenmeyen bağlantıları loglamak
• Telegram Bot API trafiğini izleyin

4. Yedekleme ve Kurtarma:
• Düzenli offline yedeklemeler alın
• 3-2-1 yedekleme stratejisi uygulayın
• Yedekleme bütünlüğünü test edin

Microsoft’un Defendnot’a Karşı Önerisi

Microsoft, defendnot kötüye kullanımına karşı şu önlemleri alınmasını tavsiye ediyor:
Tamper Protection özelliğini etkinleştirin (Windows Security > Virus & threat protection > Manage settings)
• Şüpheli Security Center API çağrılarını izleyin
• Kayıt defterinde sahte antivirüs kayıtlarını kontrol edin
• Defender servisinin beklenmedik şekilde durmasını tespit edin

Sonuç: Yazılım Açığı Olmadan Tam Sistem Ele Geçirme

Bu kampanya, modern siber saldırıların ne kadar sofistike olduğunu gösteriyor. Saldırganlar, hiçbir yazılım açığı (zero-day) kullanmadan, tamamen yasal Windows özelliklerini, yerleşik araçları ve politika mekanizmalarını kötüye kullanarak tam sistem ele geçirebiliyor. Bu, geleneksel güvenlik yaklaşımlarının (sadece yamaları güncel tutmak) yetersiz olduğunu gösteriyor.

Çok katmanlı güvenlik (defense in depth), çalışan eğitimi, sürekli izleme ve proaktif tehdit avlama artık zorunluluk. Rusya’daki kurumlar özellikle dikkatli olmalı; ancak bu taktikler her ülkede, her sektörde kullanılabilir. Siber güvenlik hiçbir zaman “bir kez yap unut” bir süreç değil; sürekli evrim ve adaptasyon gerektiriyor.

Etiketler :

amnesia ratdefendnotgithub malwarephishing saldırısıransomware 2026rusya siber saldırısosyal mühendislik

Bir Yorum Yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Benzer Yazılar