Phantom Stealer ve DUPERUNNER: Rus Finans Sektörüne Yönelik Çok Katmanlı ISO Oltalama Saldırıları

Anasayfa » Phantom Stealer ve DUPERUNNER: Rus Finans Sektörüne Yönelik Çok Katmanlı ISO Oltalama Saldırıları
APT, Phishing, Zararlı Yazılım
Aralık 20, 2025Aralık 20, 2025Tarafından Cybernews.TR
0
Phantom Stealer ve DUPERUNNER: Rus Finans Sektörüne Yönelik Çok Katmanlı ISO Oltalama Saldırıları

Saldırı Zinciri ve Teknik Detaylar

Phantom Stealer, kötü amaçlı ISO optik disk görüntüleriyle dağıtılan sofistike bir bilgi çalma yazılımıdır. Saldırı, finansal işlemleri onaylayan sahte e-postalarla başlar. Bu e-postalara eklenen ZIP arşivleri, içinde sanal CD sürücüsü olarak monte edilen ISO dosyalarını barındırır. ISO dosyası, “Подтверждение банковского перевода.iso” veya “Banka transfer onayı.iso” isimleriyle gelir ve içerisinde gömülü “CreativeAI.dll” dosyası aracılığıyla Phantom Stealer çalıştırılır.

Phantom Stealer, Chromium tabanlı tarayıcılarda yüklü kripto para cüzdanı uzantılarından, masaüstü cüzdan uygulamalarından, Discord kimlik doğrulama belirteçlerinden, şifrelerden, çerezlerden ve kredi kartı bilgilerinden veri çalabilir. Ayrıca pano içeriğini izler, tuş kaydı yapar ve sanal makine veya sandbox ortamlarını tespit ederek analizden kaçınır. Veri sızıntısı Telegram botları veya Discord webhookları üzerinden gerçekleştirilirken, FTP sunucularına dosya transferi de mümkündür.

DupeHike Kampanyası ve DUPERUNNER İmplantı

Son aylarda Rusya’da insan kaynakları ve bordro departmanları, “DupeHike” adlı kampanya kapsamında hedef alınmıştır. Bu kampanya, sahte ZIP, PDF ve LNK dosyalarıyla DUPERUNNER adlı implantı dağıtarak AdaptixC2 açık kaynaklı komut ve kontrol (C2) çerçevesini devreye sokar. LNK dosyaları, “powershell.exe” kullanarak harici sunuculardan implantı indirir ve sahte PDF görüntüleyerek “explorer.exe”, “notepad.exe” ve “msedge.exe” gibi meşru Windows süreçlerine enjekte eder.

Diğer Hedefler ve Araçlar

Rusya’daki finans, hukuk ve havacılık sektörlerine yönelik diğer oltalama kampanyalarında Cobalt Strike, Formbook, DarkWatchman ve PhantomRemote gibi gelişmiş zararlılar kullanılıyor. Ele geçirilen e-posta sunucuları, hedefe yönelik phishing mesajları göndermek için istismar ediliyor. Özellikle Rus havacılık endüstrisini hedef alan saldırılar, Ukrayna yanlısı hacktivist gruplara atfedilmiştir ve Microsoft Outlook ile Bureau 1440 kimlik bilgilerini çalmaya yönelik IPFS ve Vercel tabanlı oltalama sayfalarına yönlendirmeler içeriyor.

Siber Güvenlik Ekipleri İçin Pratik Öneriler

  • Phishing e-postalarını tespit etmek için gelişmiş e-posta güvenlik çözümleri ve sandbox analizleri kullanın.
  • ISO dosyalarının otomatik olarak sanal sürücüye monte edilmesini engelleyecek endpoint koruma politikaları uygulayın.
  • EDR sistemlerinde Phantom Stealer ve DUPERUNNER gibi zararlılar için davranış tabanlı tespit kuralları oluşturun.
  • Discord, Telegram gibi platformlardaki anormal veri çıkışlarını SIEM ile izleyin.
  • Windows süreçlerine yetkisiz kod enjekte edilmesini önlemek için uygulama beyaz listeleme ve süreç izolasyonu kullanın.
  • Çok faktörlü kimlik doğrulama (MFA) ve güçlü parola politikaları ile kimlik bilgisi hırsızlığını zorlaştırın.
  • FTP sunucularına yetkisiz erişimleri kısıtlayarak veri sızıntısı riskini azaltın.
  • Olay müdahale planlarınızı güncelleyerek bu tür çok aşamalı saldırılara karşı hızlı reaksiyon sağlayın.

Teknik Özet

  • Kötü amaçlı yazılım: Phantom Stealer, DUPERUNNER implantı
  • Hedef sektörler: Finans, muhasebe, insan kaynakları, bordro, hukuk, havacılık
  • Saldırı vektörü: ISO dosyaları içeren oltalama e-postaları, LNK dosyaları aracılığıyla PowerShell komutları
  • Kullanılan araçlar: AdaptixC2 C2 framework, Cobalt Strike, Formbook, DarkWatchman, PhantomRemote
  • Analizden kaçınma: Sanal makine/sandbox tespiti ve durdurma mekanizmaları
  • Veri sızıntısı kanalları: Telegram botları, Discord webhookları, FTP sunucuları
  • Temel savunma: E-posta güvenliği, EDR, MFA, ağ segmentasyonu, olay müdahale
, , , , , , ,