Nisan 2026’dan itibaren sigorta, eğitim, bilişim ve profesyonel hizmetler gibi farklı sektörlerde faaliyet gösteren pek çok kuruluş, finansal amaçlı olduğu düşünülen siber saldırıların hedefi oldu. Bu saldırılarda, KongTuke adlı erişim aracıyla ilişkilendirilen yeni bir arka kapı (backdoor) olan Mistic devreye girdi.
Saldırı Zinciri ve Teknik Detaylar
Mistic, diske herhangi bir dosya yazmadan bellekte çalışan ve gerektiğinde kendini silmeye yarayan bir “kill switch” özelliği taşıyor. Bu da uzun vadeli ve düşük görünürlüklü erişim sağlamak isteyen saldırganların tercih ettiğini gösteriyor. Aynı kampanyalarda Python tabanlı ModeloRAT adlı uzaktan erişim aracı (RAT) da kullanıldı. ModeloRAT, daha önce KongTuke grubu tarafından ClickFix adlı kampanyanın CrashFix varyantında fark edilmişti. Burada kötü amaçlı Google Chrome uzantıları, kullanıcının tarayıcısını çökertip güvenlik taraması bahanesiyle rastgele komutlar çalıştırmaya zorlamak için kullanıldı.
Başka bir ClickFix kampanyasında ise DNS sorguları yoluyla sonraki aşama zararlıları indirildi. Microsoft, bu saldırı zincirinde DNS’nin hafif bir işaretleme ve hazırlık kanalı olarak kullanıldığına dikkat çekti. Mistic’in dağıtımında ise DLL side-loading yöntemiyle, Microsoft’un güvenlik araçlarından “MpExtMs.exe” dosyası kullanılarak zararlının tespit edilmesi zorlaştırıldı. Bellekte doğrudan çalışan arka kapı, dosya yükleme, dosya indirme, dosya taşıma, klasör oluşturma, zaman ayarı değiştirme ve komut çalıştırma gibi kapsamlı yeteneklere sahip.
KongTuke ve Tehdit Aktörlerinin Yöntemleri
KongTuke, ele geçirdiği WordPress siteleri üzerinden trafik dağıtım sistemi (TDS) işletiyor. Bu sistemle, kullanıcıları sürekli güncellenen tuzaklara yönlendirerek zararlıları yaymakta. Son zamanlarda, sahte IT Destek hesaplarından Microsoft Teams mesajları göndererek ModeloRAT’ın kurulumunu tetikleyen yeni yöntemler de tespit edildi. Teknik analizler, bu grubun özellikle gizli erişim araçları geliştirme konusunda yüksek yetkinliğe sahip olduğunu ortaya koyuyor.
Modelorat ve Fidye Yazılım Grupları İlişkisi
ModeloRAT, Qilin fidye yazılımı saldırılarında da kullanıldı. Bu durum, fidye yazılımı operasyonlarında özel geliştirilmiş araçların yaygınlaşmaya başladığını gösteriyor. Mistic ise doğrudan fidye yazılım ekibi tarafından değil, onlarla iş birliği yapan erişim aracılarının geliştirmesi olası. Bu, saldırıların daha karmaşık ve çok aktörlü bir yapıya doğru evrildiğinin işareti.
Siber Güvenlik Ekiplerine Öneriler
Bu tür saldırılara karşı güvenlik ekipleri, bellek tabanlı tehditleri algılayabilen gelişmiş EDR çözümlerini kullanmalı. DLL side-loading gibi teknikler için özel imza ve davranış analizi kuralları oluşturulmalı. DNS trafiği dikkatle izlenmeli, anormal sorgular tespit edildiğinde müdahale edilmeli. Ayrıca, WordPress ya da benzeri içerik yönetim sistemlerinin sıkı kontrolü ve güncellemeleri ihmal edilmemeli. Microsoft Teams gibi kurumsal iletişim araçlarından gelen şüpheli mesajlar da ayrı bir inceleme konusu olmalı.
Son yıllarda saldırganların, e-posta güvenliği ve ağ segmentasyonu gibi temel savunma mekanizmalarını aşmak için sofistike yöntemler geliştirdiği görülüyor. Olay müdahale ekipleri, entegre log yönetimi ve SIEM çözümleri ile bu tür tehditlere karşı hızlı aksiyon alabilir.