Son analizlere göre, Hindistan’da Gelir İdaresi’ni taklit eden oltalama e-postalarıyla yürütülen yeni bir siber saldırı kampanyası ortaya çıktı. Bu kampanya, Blackmoon (KRBanker) banka truva atı varyantı ve Çin menşeli SyncFuture TSM (Terminal Security Management) adlı meşru bir kurumsal aracın kötüye kullanımıyla dikkat çekiyor.
Saldırı Zinciri ve Teknik Detaylar
Kampanya, sahte vergi cezası bildirimleri içeren ZIP arşiv dosyalarının kurbanlara gönderilmesiyle başlıyor. Arşiv içinde beş dosya bulunuyor; bunlardan sadece “Inspection Document Review.exe” adlı yürütülebilir dosya görünür durumda ve zararlı bir DLL dosyasını yan yüklemek için kullanılıyor. Bu DLL, hata ayıklayıcı tespiti yaparak analiz ortamlarından kaçınmaya çalışıyor ve sonraki aşama yükünü harici bir komuta kontrol (C2) sunucusundan indiriyor.
İndirilen shellcode, COM tabanlı tekniklerle kullanıcı hesabı denetimi (UAC) istemini atlayarak yönetici ayrıcalıkları kazanıyor ve Windows “explorer.exe” işlemi gibi görünmek için işlem ortam bloğunu (PEB) değiştirerek gizleniyor. Ardından, “eaxwwyr[.]cn” alan adından 32-bit Inno Setup yükleyicisi “180.exe” indiriliyor. Bu yükleyici, hedef sistemde Avast Free Antivirus çalışıyorsa davranışını antivirüs tespitinden kaçmak için ayarlıyor.
Antivirüs tespit edilirse, zararlı yazılım Avast arayüzünde otomatik fare simülasyonu yaparak zararlı dosyaları hariç tutma listesine ekliyor. Bu işlem, Blackmoon zararlısının bir varyantı olduğu değerlendirilen bir DLL aracılığıyla gerçekleştiriliyor. Blackmoon, Güney Kore, ABD ve Kanada’daki işletmeleri hedef alan ve 2015’ten beri bilinen bir banka truva atı ailesidir.
Hariç tutma listesine eklenen dosyalar arasında SyncFutureTec Company Limited’e ait “Setup.exe” adlı yürütülebilir dosya bulunuyor. Bu dosya diske “mysetup.exe” olarak yazılıyor ve SyncFuture TSM olarak bilinen uzaktan izleme ve yönetim (RMM) özelliklerine sahip meşru bir kurumsal araç olarak kullanılıyor. Böylece tehdit aktörleri, enfekte uç noktaları uzaktan kontrol edebiliyor, kullanıcı aktivitelerini kaydedebiliyor ve hassas verileri sızdırabiliyor.
Kampanyanın Teknik Bileşenleri ve Savunma Önerileri
Kampanyada kullanılan teknikler arasında anti-analiz yöntemleri, ayrıcalık yükseltme, DLL yan yükleme, meşru ticari araçların kötüye kullanımı ve güvenlik yazılımı kaçınma yer alıyor. Bu karmaşık saldırı zinciri, SOC ekipleri için kapsamlı tespit ve müdahale gerektiriyor.
Yürütülen diğer zararlı bileşenler şunları içeriyor:
- Özel dizinler oluşturan ve erişim kontrol listelerini (ACL) tüm kullanıcılara izin verecek şekilde değiştiren toplu iş dosyaları
- Masaüstü klasörlerindeki kullanıcı izinlerini değiştiren toplu iş dosyaları
- Temizlik ve geri yükleme işlemleri yapan toplu iş dosyaları
- Farklı servisleri yöneten ve kapsamlı kayıt tutmayı sağlayan “MANC.exe” adlı yürütülebilir dosya
Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Kontrol Listesi
- E-posta güvenliği çözümlerinde oltalama e-postalarını tespit etmek için gelişmiş filtreleme ve sandbox analizleri uygulayın.
- EDR sistemlerinde DLL yan yükleme ve COM tabanlı ayrıcalık yükseltme tekniklerini tespit edecek kurallar oluşturun.
- SyncFuture TSM gibi meşru araçların beklenmedik kullanımını izlemek için davranış analizi yapın.
- UAC atlama ve işlem gizleme tekniklerine karşı sistem çağrısı izleme ve anormallik tespiti yapın.
- Firewall ve ağ segmentasyonu ile C2 sunucularına erişimi kısıtlayın ve anormal trafik için SIEM loglarını düzenli inceleyin.
- Kritik sistemlerde çok faktörlü kimlik doğrulama (MFA) ve IAM politikalarını sıkılaştırın.
- Antivirüs yazılımlarının otomatik hariç tutma listesi ekleme davranışlarını düzenli olarak denetleyin.
- Olay müdahale (incident response) planlarını güncelleyerek bu tür gelişmiş tehditlere karşı hazırlıklı olun.
Hedef Sektörler ve Bölgesel Etki
Kampanya şu anda özellikle Hindistan’daki finansal kurumlar ve kurumsal altyapıları hedef alıyor. Ancak Blackmoon zararlısının geçmişte Güney Kore, ABD ve Kanada’da da aktif olduğu bilinmektedir. Bu tür gelişmiş tehditler, küresel ölçekte e-posta güvenliği ve ağ segmentasyonu gibi savunma katmanlarının önemini bir kez daha ortaya koymaktadır.