Saldırının Genel Çerçevesi
Kasım 2025’ten itibaren Çin’de faaliyet gösteren Batılı kuruluşlar ve Çin dilini konuşan kullanıcılar, Silver Fox adlı tehdit grubunun hedefi haline geldi. Grup, Rus tehdit aktörlerini taklit eden sahte bayrak operasyonlarıyla dikkat çekiyor. Saldırılar, arama motoru optimizasyonu (SEO) zehirleme yöntemiyle sahte Microsoft Teams kurucusu sunan web siteleri üzerinden yürütülüyor. Kullanıcılar, Alibaba Cloud kaynaklı “MSTчamsSetup.zip” adlı zararlı arşivi indiriyor.
Bu arşivdeki “Setup.exe” dosyası, trojanlaştırılmış Microsoft Teams kurucusu olarak çalışıyor ve 360 Total Security antivirüsünü hedef alarak hariç tutma kuralları oluşturuyor. Ardından, “Verifier.exe” adlı kötü amaçlı yazılımı “AppData\Local\” dizinine yerleştirip çalıştırıyor. Bu süreçte çeşitli konfigürasyon dosyaları ve DLL’ler oluşturuluyor, zararlı kod Windows’un meşru “rundll32.exe” işlemi içine yüklenerek gizleniyor.
Saldırı Zinciri ve Teknik Detaylar
Silver Fox’un kullandığı ValleyRAT, Gh0st RAT’ın gelişmiş bir varyantı olup, uzaktan erişim, veri sızıntısı ve kalıcılık sağlama yeteneklerine sahip. Saldırı zinciri şu aşamalardan oluşuyor:
- SEO zehirleme ile sahte Teams kurucusuna yönlendirme
- Trojanlaştırılmış kurucunun antivirüs hariç tutmaları yapılandırması
- Kötü amaçlı dosyaların sistemde gizlenmesi ve çalıştırılması
- Uzaktan komut ve kontrol (C2) sunucusuna bağlantı ve son yükün indirilmesi
Ek olarak, Nextron Systems tarafından raporlanan başka bir saldırı zincirinde, “Bring Your Own Vulnerable Driver” (BYOVD) tekniğiyle “NSecKrnl64.sys” sürücüsü yüklenerek güvenlik çözümleri devre dışı bırakılıyor. Bu zincirde, şifre korumalı arşivler, yeniden adlandırılmış 7-Zip ikili dosyaları ve zamanlanmış görevler aracılığıyla kalıcılık sağlanıyor. “bypass.exe” adlı bileşen ise Kullanıcı Hesabı Denetimi (UAC) atlamasıyla ayrıcalık yükseltiyor.
Hangi Sistemler Risk Altında?
Özellikle Çin’de faaliyet gösteren Batılı şirketler ve Çin dilini kullanan kullanıcılar hedef alınmakta. ValleyRAT’ın Gh0st RAT kökenli olması, Çinli hacker gruplarının yaygın kullandığı araçlarla benzerlik gösteriyor. Saldırı, kurumsal ağlarda uzun süreli erişim sağlamak ve hassas verileri sızdırmak amacıyla tasarlanmış.
Siber Güvenlik Ekipleri İçin Öneriler
- Phishing ve SEO zehirleme saldırılarına karşı e-posta güvenliği çözümlerini güçlendirin.
- Endpoint Detection and Response (EDR) sistemlerinde trojanlaştırılmış kurucu ve sürücü yüklemelerini tespit edecek kurallar oluşturun.
- Microsoft Defender ve diğer antivirüs programlarının hariç tutma listelerini düzenli olarak gözden geçirin.
- Windows sistemlerinde “rundll32.exe” gibi meşru işlemlerin anormal bellek kullanımlarını izleyin.
- Zamanlanmış görevler ve VBE betikleri gibi kalıcılık mekanizmalarını düzenli kontrol edin.
- Network segmentasyonu ve Zero Trust mimarisi ile zararlı yazılımın yayılmasını engelleyin.
- Güvenlik bilgi ve olay yönetimi (SIEM) sistemlerinde anormal DNS ve C2 iletişimlerini takip edin.
- Bulut ortamlarında indirilen dosyaların kaynağını doğrulayarak zararlı içeriklerin yayılmasını önleyin.
Teknik Özet
- Kullanılan zararlılar: ValleyRAT (Winos 4.0), Gh0st RAT varyantı
- Hedeflenen sektörler: Çin’de faaliyet gösteren Batılı kuruluşlar, Çin dilini konuşan kullanıcılar
- Kullanılan teknikler: SEO zehirleme, trojanlaştırılmış Microsoft Teams kurucusu, BYOVD sürücü yükleme, UAC atlaması
- Saldırı zinciri: Sahte kurucu indirme → antivirüs hariç tutma → kötü amaçlı dosya yerleştirme → C2 sunucusuna bağlantı
- Önerilen savunma: EDR ve SIEM entegrasyonu, düzenli antivirüs konfigürasyon kontrolü, ağ segmentasyonu, MFA ve olay müdahale (incident response) planları