Son analizler, Altın Bıçak (Gold Blade) adlı siber suç grubunun 2018 sonlarından beri Rusya ve Avrupa ülkeleriyle birlikte Kanada ve ABD’de yoğunlaşan saldırılar gerçekleştirdiğini ortaya koyuyor. Grup, özellikle Şubat 2024 ile Ağustos 2025 arasında QWCrypt adlı özel bir fidye yazılımı varyantını kullanarak Kanada’daki kuruluşların %80’ini hedef aldı.
Saldırı Zinciri ve Teknik Detaylar
Altın Bıçak operasyonları, insan kaynakları personelini hedef alan özelleştirilmiş oltalama e-postalarıyla başlıyor. Bu e-postalar, Indeed, JazzHR ve ADP WorkforceNow gibi meşru iş başvuru platformları üzerinden silahlandırılmış özgeçmişler içeriyor. Kullanıcılar, kötü amaçlı belgeleri açmaya teşvik edilerek RedLoader adlı yükleyici aracılığıyla QWCrypt fidye yazılımı dağıtılıyor.
Saldırı zinciri üç aşamalı olarak ilerliyor: başlangıçta oltalama ile erişim sağlanıyor, ardından PowerShell betikleri ve Sysinternals AD Explorer kullanılarak sistem keşfi yapılıyor. Son aşamada ise fidye yazılımı, ağdaki uç noktalarda ve hipervizörlerde çalıştırılıyor. Bu süreçte, Microsoft’un Program Uyumluluk Yardımcısı (pcalua.exe) ve Cloudflare Workers destekli WebDAV sunucuları kullanılarak zararlı dosyalar gizleniyor ve yükleniyor.
Grubun kullandığı Terminator aracı, Zemana AntiMalware sürücüsünü kötüye kullanarak antivirüs süreçlerini sonlandırıyor. Ayrıca, RPivot ve Chisel SOCKS5 gibi açık kaynaklı ters proxy araçlarıyla C2 iletişimi sağlanıyor. Bu çok aşamalı ve gizli yöntemler, saldırıların tespitini zorlaştırıyor.
Hangi Sistemler Risk Altında?
Hizmet, üretim, perakende, teknoloji, sivil toplum kuruluşları ve ulaşım sektörleri en çok etkilenenler arasında. Özellikle hipervizörlere yönelik saldırılarda artış gözlemleniyor; bu da altyapıdaki sanallaştırma katmanlarının doğrudan hedef alındığını gösteriyor. Hipervizörlere yönelik saldırılar, ESXi hesaplarının kötüye kullanımı ve zayıf yönetim ağları üzerinden yayılıyor.
Siber Güvenlik Ekipleri İçin Öneriler
- İK personeline yönelik e-posta güvenliği eğitimlerini artırın ve iş alım platformlarından gelen dosyaları sıkı taramaya tabi tutun.
- EDR ve SIEM sistemlerinde RedLoader, QWCrypt ve Terminator gibi araçların davranışsal göstergelerini izleyin.
- Hipervizör yönetim ağlarını üretim ve kullanıcı ağlarından izole edin, ESXi yönetim erişimlerini sadece belirli cihazlarla sınırlandırın.
- Çok faktörlü kimlik doğrulama (MFA) uygulayarak yönetici hesaplarını koruyun.
- Program Uyumluluk Yardımcısı (pcalua.exe) gibi meşru araçların kötüye kullanımını tespit etmek için anormal süreç davranışlarını izleyin.
- Gölge kopyaların ve PowerShell geçmişinin düzenli olarak yedeklenmesini sağlayın ve saldırı sonrası temizlik betiklerine karşı önlemler geliştirin.
- Olay müdahale planlarında, oltalama kaynaklı saldırılara hızlı yanıt ve ağ segmentasyonu stratejilerini önceliklendirin.
Teknik Özet
- Kullanılan zararlılar: QWCrypt fidye yazılımı, RedLoader yükleyici, Terminator BYOVD aracı
- Hedef sektörler: Hizmet, üretim, perakende, teknoloji, sivil toplum, ulaşım
- Coğrafi odak: %80 Kanada, ABD, Avustralya, Birleşik Krallık
- Saldırı zinciri: Hedefli oltalama e-postası → kötü amaçlı belge açılması → RedLoader ile C2 iletişimi → sistem keşfi → QWCrypt fidye yazılımı dağıtımı
- Önerilen savunma: E-posta güvenliği, MFA, ağ segmentasyonu, EDR/siem ile davranışsal izleme, hipervizör erişim kontrolü
Altın Bıçak grubunun iş alım platformlarını kötüye kullanması ve saldırı yöntemlerini sürekli geliştirmesi, maddi amaç güden tehdit aktörlerinde alışılmadık bir operasyonel olgunluk seviyesini gösteriyor. Bu durum, kurumsal ortamların fidye yazılımı ve veri hırsızlığına karşı çok katmanlı savunma stratejileri geliştirmesini zorunlu kılıyor.