Güney Kore’de tek bir hedefe yönelik gelişmiş bir oltalama saldırısında, Kimsuky grubunun daha önce belgelenmemiş HttpTroy adlı yeni bir arka kapı kullandığı ortaya çıktı. Gen Digital tarafından açıklanan bu saldırıda, kötü amaçlı yazılım VPN faturası kılığında ZIP arşivinde gizlenmişti. ZIP dosyası, “250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip” adıyla kurbana ulaştırıldı ve içinde kötü amaçlı SCR dosyası barındırıyordu.
Saldırı Zinciri ve Teknik Detaylar
Güvenlik araştırmacısı Alexandru-Cristian Bardaș’ın belirttiği üzere, saldırı zinciri üç aşamadan oluşuyor: küçük bir dropper, MemLoad adlı yükleyici ve nihai HttpTroy arka kapısı. SCR dosyası açıldığında, sahte bir PDF belgesi gösterilirken arka planda Golang ile yazılmış ikili dosya çalıştırılıyor. MemLoad, AhnLab güvenlik yazılımını taklit eden “AhnlabUpdate” adlı zamanlanmış görevle kalıcılık sağlıyor ve HttpTroy DLL arka kapısını şifre çözerek çalıştırıyor.
HttpTroy, dosya transferi, ekran görüntüsü alma, rastgele komut çalıştırma, yükseltilmiş ayrıcalıklarla işlem yürütme, ters kabuk açma ve iz silme gibi gelişmiş yeteneklere sahip. Komut ve kontrol (C2) iletişimi HTTP POST istekleriyle “load.auraria[.]org” sunucusu üzerinden sağlanıyor. Ayrıca, API çağrıları özel karma algoritmaları, XOR işlemleri ve SIMD talimatlarıyla gizlenerek statik analiz ve tespit zorlukları yaratıyor. Bu dinamik API çözümleme ve COM tabanlı görev sömürüsü, saldırganların teknik evrimini gösteriyor.
Lazarus Grubu’nun Kanada Saldırısı ve BLINDINGCAN RAT
Gen Digital ayrıca, Lazarus Grubu’nun Kanada’daki iki hedefe yönelik Comebacker ve BLINDINGCAN (AIRDRY/ZetaNile) uzaktan erişim trojanlarının gelişmiş varyantlarını kullandığı bir saldırıyı da raporladı. Başlangıç erişim vektörü kesin olmamakla birlikte, bilinen güvenlik açıkları kullanılmadığı için oltalama e-postası olduğu değerlendiriliyor. DLL ve EXE varyantları farklı yöntemlerle çalıştırılarak BLINDINGCAN yükü şifre çözülüyor ve servis olarak dağıtılıyor.
BLINDINGCAN, “tronracing[.]com” C2 sunucusuyla iletişim kurup dosya yönetimi, sistem bilgisi toplama, komut yürütme, ekran ve video yakalama, konfigürasyon güncelleme ve kendini silme gibi kapsamlı işlevler sunuyor. Bu RAT, özellikle bellek içi yürütme ve CreateProcessW API’si kullanımıyla, tespit ve analizden kaçınmayı hedefliyor.
Ek Teknik Perspektifler ve Siber Tehditlerin Evrimi
HttpTroy ve Lazarus saldırılarında, MCP istemcisi benzeri modüler yapılar ve Pydantic AI ile desteklenen analiz tekniklerine karşı önlemler dikkat çekiyor. AsyncRAT gibi gelişmiş RAT’larla benzerlikler taşıyan bu araçlar, konteyner ortamlarında rastgele SSH portları kullanarak lateral hareket kabiliyetini artırıyor. Çok katmanlı gizleme, dinamik API çözümleme ve COM tabanlı görev kayıtları, bu tehditlerin karmaşıklığını ve sofistikasyonunu gözler önüne seriyor.
Gen Digital, Kimsuky ve Lazarus’un sadece mevcut araçlarını korumakla kalmayıp, aynı zamanda yeniden icat ederek teknik evrimlerini sürdürdüğünü belirtiyor. Bu kampanyalar, çok aşamalı enfeksiyon zincirleri ve gizli kalıcılık mekanizmalarıyla, tespitten kaçınmayı ve ele geçirilen sistemler üzerinde tam kontrol sağlamayı amaçlıyor.