Google, COLDRIVER Grubunun Üç Yeni Rus Zararlı Yazılım Ailesini Ortaya Çıkardı

Ekim 21, 2025Ekim 25, 2025Tarafından Ai Administrator

Google Tehdit İstihbarat Grubu (GTIG), devlet destekli Rus hacker grubu COLDRIVER tarafından geliştirilen üç yeni zararlı yazılım ailesini tespit etti. Mayıs 2025’ten itibaren hız kazanan bu gelişmeler, grubun operasyon temposunun arttığını gösteriyor. Yeni zararlı yazılımlar NOROBOT, YESROBOT ve MAYBEROBOT kod adlarıyla anılıyor ve birbirine bağlı bir teslimat zinciri oluşturuyor.

Yeni Zararlı Yazılım Ailelerinin Teknik Özellikleri

NOROBOT, COLDCOPY adlı HTML tabanlı ClickFix tuzağı ile başlayan enfeksiyon zincirinin ilk aşamasını oluşturuyor. Bu zararlı, rundll32.exe aracılığıyla çalışan bir DLL dosyası bırakıyor ve sonraki aşamada Python 3.8 kurulumu gibi karmaşık adımlarla sistemde kalıcılık sağlıyor. YESROBOT, Python tabanlı minimal bir arka kapı olarak HTTPS üzerinden sabit kodlu komut ve kontrol (C2) sunucusundan komut alıyor; dosya indirme, çalıştırma ve ilgi çekici belgeleri toplama yetenekleri bulunuyor. Ancak sadece iki örneği tespit edildi. MAYBEROBOT ise PowerShell tabanlı, esnek ve genişletilebilir bir implant olarak öne çıkıyor; belirli URL’lerden yük indirip çalıştırabiliyor, cmd.exe ve PowerShell komutları çalıştırma kapasitesiyle gelişmiş işlevsellik sunuyor.

Operasyonel Taktikler ve Gelişmeler

COLDRIVER grubunun yeni saldırı yöntemleri, önceki yüksek profilli hedeflere yönelik kimlik bilgisi hırsızlığı taktiklerinden farklı olarak, Windows Çalıştır iletişim kutusu üzerinden sahte CAPTCHA doğrulama istemiyle kullanıcıları zararlı PowerShell komutları çalıştırmaya ikna etmeye odaklanıyor. Ayrıca, MCP istemcisi benzeri modüler yapılar ve Pydantic AI destekli analiz araçları kullanılarak zararlıların tespiti zorlaştırılıyor. Grup, konteyner ortamlarında rastgele SSH portları açarak ağ trafiğini gizleme ve AsyncRAT benzeri uzaktan erişim teknikleriyle kalıcılık sağlama stratejileri uyguluyor.

Hollanda’daki Gelişmeler ve Hukuki Süreç

Bu teknik keşifler, Hollanda Kamu Savcılığı’nın (Openbaar Ministerie – OM) üç 17 yaşındaki genci yabancı bir hükümete hizmet etmekle suçlamasıyla aynı döneme denk geldi. Şüphelilerden birinin Rus hükümetiyle bağlantılı hacker grubu ile temas halinde olduğu ve Wi-Fi ağlarını haritalama gibi dijital casusluk faaliyetlerine destek verdiği belirtildi. İki şüpheli gözaltına alınırken, üçüncüsü ev hapsinde tutuluyor.

Google, NOROBOT ve MAYBEROBOT’un önceden oltalama saldırılarıyla ele geçirilen yüksek değerli hedeflere yönelik istihbarat toplama amacıyla kullanıldığını vurguladı. Bu gelişmeler, siber güvenlik alanında tehdit aktörlerinin saldırı zincirlerini sürekli evrimleştirdiğini ve tespit sistemlerinden kaçmak için sofistike teknikler geliştirdiğini gösteriyor.

C2 sunucusu, COLDRIVER, Google Tehdit İstihbarat Grubu, PowerShell, Python, Rus hacker grubu, siber güvenlik, Zararlı yazılım

Daha fazla gönderi

Ekim 27, 2025Ekim 27, 2025

Qilin Fidye Yazılımı: Hibrit BYOVD Saldırısında Linux Yükü ve Gelişmiş Taktikler

Qilin fidye yazılımı grubu, 2025'te artan saldırı sayılarıyla öne çıktı ve hibrit BYOVD saldırı zinciriyle Linux ve Windows sistemlerini hedef aldı. Saldırganlar, meşru BT araçlarını kötüye kullanarak kimlik bilgisi toplama, tespitten kaçma ve yedekleme altyapılarını hedef alma gibi gelişmiş teknikler uyguluyor. Bu karmaşık operasyon, modern sanallaştırma ortamlarını da kapsayarak kurumsal güvenlik için ciddi riskler barındırıyor.

Daha Fazla Oku

Ekim 27, 2025Ekim 27, 2025

ChatGPT Atlas Tarayıcısında Sahte URL’lerle Prompt Enjeksiyonu Güvenlik Açığı

ChatGPT Atlas tarayıcısında, sahte URL formatındaki girdilerle AI ajanlarının gizli komutları çalıştırmasına olanak tanıyan kritik bir güvenlik açığı tespit edildi. NeuralTrust ve diğer güvenlik araştırmacıları, prompt enjeksiyonlarının AI asistan tarayıcılarında sistemik bir sorun olduğunu ve saldırganların yeni yöntemlerle bu açığı kullanmaya devam ettiğini belirtiyor. OpenAI ve diğer firmalar, çok katmanlı güvenlik önlemleriyle bu tehditlere karşı mücadele ediyor.

Daha Fazla Oku

Ekim 24, 2025Ekim 25, 2025

3.000’den Fazla YouTube Videosu Kötü Amaçlı Yazılım Dağıtımı İçin Hayalet Ağ Operasyonunda Kullanıldı

2021'den beri aktif olan YouTube Hayalet Ağı operasyonu, 3.000'den fazla kötü amaçlı yazılım içeren video yayınladı ve yıl başından itibaren bu içeriklerin sayısı üç katına çıktı. Operasyon, ele geçirilmiş hesapları modüler ve rol tabanlı yapıyla kullanarak kullanıcıları çeşitli stealer ve yükleyicilerle enfekte ediyor. Siber güvenlik uzmanları, bu tür karmaşık ve sürekli evrilen tehditlere karşı

Daha Fazla Oku

Ekim 24, 2025Ekim 25, 2025

APT36’nın Golang Tabanlı DeskRAT Zararlısıyla Hindistan Hükümetini Hedefleyen Gelişmiş Operasyonu

APT36 (Transparent Tribe) tarafından Ağustos-Eylül 2025 döneminde gerçekleştirilen saldırılar, Golang tabanlı DeskRAT zararlısını kullanarak Hindistan hükümetini hedef aldı. Zararlı, BOSS Linux sistemlerine yönelik olup gelişmiş kalıcılık ve C2 iletişim teknikleri içeriyor. Bölgedeki diğer tehdit aktörleriyle paralel ilerleyen bu operasyon, sofistike araçlar ve çok platformlu tehditlerle dikkat çe

Daha Fazla Oku

P	S	Ç	P	C	C	P
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31