APT24’ün BADAUDIO Kötü Amaçlı Yazılımıyla Yürüttüğü Gelişmiş Tedarik Zinciri ve Oltalama Saldırıları

Anasayfa » APT24’ün BADAUDIO Kötü Amaçlı Yazılımıyla Yürüttüğü Gelişmiş Tedarik Zinciri ve Oltalama Saldırıları
Siber Güvenlik Analizi, Siber Tehditler
Kasım 24, 2025Kasım 24, 2025Tarafından Cybernews.TR
0
APT24’ün BADAUDIO Kötü Amaçlı Yazılımıyla Yürüttüğü Gelişmiş Tedarik Zinciri ve Oltalama Saldırıları

Son analizler, APT24 olarak bilinen Çin bağlantılı gelişmiş kalıcı tehdit (APT) grubunun, Tayvan’daki çeşitli sektörlerde faaliyet gösteren kurumları hedef alan karmaşık bir saldırı kampanyasında BADAUDIO adlı daha önce belgelenmemiş bir kötü amaçlı yazılımı kullandığını ortaya koydu. Grup, yaklaşık üç yıldır süren bu operasyonlarda özellikle tedarik zinciri ihlalleri ve hedefli oltalama yöntemlerine ağırlık veriyor.

APT24, ABD ve Tayvan’daki hükümet, sağlık, inşaat, madencilik, telekomünikasyon ve kar amacı gütmeyen kuruluşları hedef alıyor. Grup, rekabetçi sektörlerde entelektüel mülkiyet hırsızlığı için sofistike siber operasyonlar yürütmesiyle tanınıyor. FireEye raporlarına göre, 2008’den beri aktif olan APT24, Microsoft Office belgelerindeki kritik güvenlik açıklarını (örneğin CVE-2012-0158 ve CVE-2014-1761) kullanarak oltalama e-postalarıyla sistemlere sızıyor.

BADAUDIO ve Tedarik Zinciri Saldırıları

BADAUDIO, C++ ile yazılmış ve tersine mühendisliği zorlaştırmak için kontrol akışı düzleştirmesi kullanan yüksek karmaşıklıkta bir kötü amaçlı yazılım. İlk aşama indiricisi olarak AES şifreli komut ve kontrol (C2) sunucusundan yük indirip çalıştırıyor. Sistem bilgilerini toplayarak C2 sunucusuna gönderiyor ve karşılık olarak Cobalt Strike Beacon gibi ek yükleri alabiliyor.

Bu kötü amaçlı yazılım genellikle DLL Arama Sırası Kaçırma (DLL Hijacking) yöntemiyle meşru uygulamalar üzerinden çalıştırılıyor. Son varyantlarda, BADAUDIO DLL’lerini içeren şifreli arşivler ve VBS, BAT, LNK dosyalarını kapsayan karmaşık yürütme zincirleri gözlemlendi.

Kasım 2022’den itibaren APT24, 20’den fazla meşru web sitesini ele geçirerek kötü amaçlı JavaScript enjekte etti. Bu kod, macOS, iOS ve Android kullanıcılarını dışlayarak ziyaretçilerin tarayıcı parmak izi oluşturmasını sağlıyor ve Google Chrome güncellemesi kılığında BADAUDIO indirme açılır penceresi gösteriyor.

Temmuz 2024’te Tayvan’daki bir dijital pazarlama firmasının tedarik zinciri ele geçirilmesiyle 1.000’den fazla alan adı etkilenmiş durumda. Değiştirilen üçüncü taraf JavaScript, meşru bir CDN’yi taklit ederek hedef makineleri parmak iziyle tanımlıyor ve doğrulama sonrası kötü amaçlı yük indirme sürecini tetikliyor.

Türkiye İçin Ne Anlama Geliyor?

APT24’ün kullandığı BADAUDIO ve tedarik zinciri saldırıları, Türkiye’deki kurumlar için önemli bir tehdit oluşturuyor. Özellikle kritik altyapılar, finans, sağlık ve telekom sektörlerinde faaliyet gösteren KOBİ’ler ve büyük kuruluşlar, benzer yöntemlerle hedef alınabilir. KVKK kapsamında kişisel verilerin korunması zorunluluğu göz önünde bulundurulduğunda, bu tür saldırılar veri ihlallerine ve ciddi yasal yaptırımlara yol açabilir.

Örneğin, Türkiye’de faaliyet gösteren bir e-ticaret platformunda tedarik zinciri saldırısı sonucu kullanılan bir üçüncü taraf JavaScript kütüphanesine kötü amaçlı kod enjekte edilse, müşterilerin kişisel ve ödeme bilgileri ele geçirilebilir. Bu durum, hem müşteri güveninin sarsılmasına hem de yasal yaptırımlara neden olur.

Ayrıca, BADAUDIO gibi gelişmiş kötü amaçlı yazılımların kullanılması, kurumların siber savunma yetkinliklerini artırmasını ve özellikle e-posta güvenliği, uç nokta algılama ve yanıt (EDR) çözümleri ile bulut güvenliği önlemlerini güçlendirmesini gerektiriyor. Türkiye’deki SOC ekiplerinin, bu tür tehdit aktörlerinin kullandığı teknikleri yakından takip etmesi kritik önem taşıyor.

Sistem Yöneticileri ve SOC Ekipleri İçin Hızlı Kontrol Listesi

  • E-posta filtreleme ve sandboxing çözümlerini güncel tutarak oltalama e-postalarını engelleyin.
  • Microsoft Office ve diğer kritik yazılımların bilinen güvenlik açıklarını (ör. CVE-2012-0158, CVE-2014-1761) düzenli olarak yamalayın.
  • EDR ve MCP istemcileri ile uç noktalarda şüpheli DLL yüklemelerini ve süreç enjeksiyonlarını izleyin.
  • Web uygulamalarında üçüncü taraf JavaScript ve CDN içeriklerini düzenli olarak denetleyin ve bütünlük kontrolleri uygulayın.
  • Firewall ve proxy ayarlarında anormal dış bağlantıları tespit etmek için logları sürekli analiz edin.
  • Şifreli kötü amaçlı yazılım yüklerini tespit etmek için davranış tabanlı analiz araçları kullanın.
  • SOC ekipleri için Pydantic AI gibi yapay zeka destekli tehdit tespiti çözümlerini entegre edin.
  • Çalışanlara yönelik sosyal mühendislik farkındalık eğitimlerini artırarak oltalama saldırılarına karşı bilinçlendirme yapın.

Teknik Özet

  • Kullanılan zararlılar/araçlar: BADAUDIO (C++ ile yazılmış, AES şifreli yük indirici), CT RAT, MM RAT (Goldsun-B), Paladin RAT, Leo RAT (Gh0st RAT varyantları), Taidoor (Roudan) arka kapısı, Cobalt Strike Beacon.
  • Hedef sektörler/ bölgeler: Tayvan ve ABD’de hükümet, sağlık, inşaat, madencilik, telekomünikasyon, kar amacı gütmeyen kuruluşlar; Güneydoğu Asya’da hükümet ve medya sektörleri.
  • Kullanılan zafiyetler: CVE-2012-0158 (NVD), CVE-2014-1761 (NVD), CVE-2025-8088 (WinRAR güvenlik açığı).
  • Saldırı zinciri özeti: 1) Tedarik zinciri ihlali ve sulama delikleri yoluyla başlangıç erişimi; 2) BADAUDIO’nun DLL hijacking yöntemiyle yüklenmesi ve AES şifreli yüklerin indirilmesi; 3) Komut ve kontrol sunucusuyla iletişim ve ek yüklerin dağıtımı.
  • Önerilen savunma yaklaşımı: Çok katmanlı güvenlik; düzenli yama yönetimi; gelişmiş uç nokta koruması; üçüncü taraf içeriklerin sıkı denetimi; sosyal mühendislik farkındalığı ve davranış tabanlı tehdit tespiti.

APT24’ün kullandığı teknikler, özellikle tedarik zinciri saldırılarının karmaşıklığı ve sosyal mühendislik unsurlarının birleşimi, kurumların siber güvenlik stratejilerini yeniden gözden geçirmelerini zorunlu kılıyor. Bu bağlamda, e-posta güvenliği, bulut güvenliği ve uç nokta koruma çözümleri kritik öneme sahip.

, , , , , , ,