Son analizlere göre, Pakistan bağlantılı SideCopy tehdit aktörü, Afganistan Maliye Bakanlığı ve bağlı il düzeyindeki finans birimlerini hedef alan yeni bir siber casusluk kampanyası yürütüyor. Operasyon XENOFISCAL adı verilen bu saldırı, Pashto dilinde hazırlanmış kötü amaçlı LNK dosyaları içeren ZIP arşivleriyle başlayan hedefli oltalama (spear phishing) yöntemi kullanıyor.
Saldırı Zinciri ve Teknik Detaylar
Kampanya, Windows kısayol dosyasının (LNK) çalıştırılmasıyla başlıyor. Bu dosya, mshta.exe aracılığıyla Afganistan eğitim alanına ait ele geçirilmiş bir web sitesinden HTML Uygulaması (HTA) indiriyor. Bellekte çalışan karmaşık JavaScript kodları, Xeno RAT 1.8.7 sürümünü yüklemek için kullanılıyor. Zararlı yazılım, Microsoft Edge tarayıcısını taklit ederek Windows Kayıt Defteri üzerinde kalıcılık sağlıyor ve DLL tabanlı bir yükleyici ile sahte bir belge bırakıyor.
Xeno RAT, TCP protokolü üzerinden komut ve kontrol (C2) sunucusuyla iletişim kuruyor. Modüler yapısıyla dış DLL modüllerini yükleyip çalıştırabiliyor, antivirüs bilgisi toplayabiliyor, SOCKS5 proxy desteğiyle ağ tünelleme yapabiliyor, klavye kaydı tutabiliyor, ekran görüntüsü alabiliyor ve webcam ile mikrofonu izleyebiliyor. Ayrıca, kalıcılık yöntemlerini silebiliyor ve kendini sistemden kaldırabiliyor.
Hedeflenen Sistemler ve Bölgesel Bağlam
Kampanyada, Afganistan Maliye Bakanlığı ile birlikte il düzeyindeki gelir ve finans müdürlükleri, Pashto konuşan devlet görevlileri ve çalışanları hedef alınıyor. Pashto dilinin seçilmesi, saldırganların hedef ortamı iyi tanıdığını gösteriyor. SideCopy grubu, Transparent Tribe (APT36) adlı daha geniş bir tehdit grubunun parçası olarak biliniyor ve geçmişte Hindistan’daki çeşitli sektörlere yönelik Xeno RAT, Spark RAT ve CurlBack RAT gibi zararlılarla saldırılar düzenlemişti.
Güvenlik Uzmanları İçin Öneriler
- Hedefli oltalama saldırılarına karşı e-posta güvenliği çözümlerini güçlendirin ve kullanıcıları bilinçlendirin.
- EDR ve SIEM sistemleriyle
mshta.exeve LNK dosyası aktivitelerini yakından izleyin. - Windows Kayıt Defteri üzerinde şüpheli kalıcılık kayıtlarını düzenli olarak kontrol edin.
- Güçlü ağ segmentasyonu uygulayarak kritik finansal sistemlerin erişimini sınırlandırın.
- Çok faktörlü kimlik doğrulama (MFA) ve en az ayrıcalık prensibini benimseyin.
- Antivirüs ve güvenlik yazılımlarını güncel tutun ve zararlı yazılım imzalarını düzenli olarak güncelleyin.
- Olay müdahale (incident response) planlarınızı Xeno RAT gibi RAT türlerine karşı test edin.
Küresel Siber Tehdit Ekosistemindeki Yeri
Bu kampanya, Güney Asya bölgesindeki devlet kurumlarına yönelik devam eden siber casusluk faaliyetlerinin bir parçası olarak değerlendiriliyor. Benzer şekilde, Hint askeri altyapısını hedef alan ve Linux .desktop dosyalarıyla gerçekleştirilen başka bir oltalama operasyonu da raporlandı. Bu tür saldırılar, bölgesel jeopolitik gerilimlerin siber alana yansıması olarak görülüyor.