NetSupport RAT ile Özbekistan ve Rusya’da Hedefli Saldırılar: Bloody Wolf Kampanyası ve Yeni Taktikler

Anasayfa » NetSupport RAT ile Özbekistan ve Rusya’da Hedefli Saldırılar: Bloody Wolf Kampanyası ve Yeni Taktikler
APT, Siber Güvenlik, Zararlı Yazılım
Şubat 12, 2026Şubat 12, 2026Tarafından Cybernews.TR
0
NetSupport RAT ile Özbekistan ve Rusya’da Hedefli Saldırılar: Bloody Wolf Kampanyası ve Yeni Taktikler

Son dönemde ortaya çıkan Bloody Wolf adlı tehdit aktörü, Özbekistan ve Rusya başta olmak üzere Orta Asya ve Doğu Avrupa ülkelerinde NetSupport RAT (Remote Access Trojan) kullanarak hedefli siber saldırılar gerçekleştiriyor. En az 2023 yılından beri aktif olan bu kampanya, finans, üretim ve bilgi teknolojileri sektörlerini hedef alıyor ve özellikle Özbekistan’da yaklaşık 50, Rusya’da ise 10 cihazın enfekte olduğu tahmin ediliyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanyanın başlangıcı, zararlı PDF ekleri içeren oltalama e-postalarıyla yapılıyor. Bu PDF dosyaları, tıklandığında kötü amaçlı bir yükleyici indiriyor. Yükleyici, kurban makinede uygulamanın çalışmadığı izlenimini veren sahte hata mesajları gösteriyor ve NetSupport RAT’ın üçten fazla kurulum denemesini engelleyen bir deneme limiti mekanizması içeriyor. RAT, çeşitli dış kaynaklardan indirilip başlatılıyor ve kalıcılık için Başlangıç klasörüne otomatik çalıştırma betiği, Kayıt Defteri’ne “run.bat” betiği ve zamanlanmış görevler ekleniyor.

Bu kampanyada NetSupport RAT’ın kullanılması, tehdit aktörünün daha önce STRRAT (Strigoi Master) gibi araçları kullandığı bilinen bir altyapı üzerinden meşru uzak yönetim araçlarını kötüye kullanma eğilimini gösteriyor. Ayrıca, Bloody Wolf altyapısında Mirai botnet yükleri tespit edilmesi, IoT cihazlarının da hedef alındığını ve saldırı yüzeyinin genişlediğini ortaya koyuyor.

Hedeflenen Sektörler ve Bölgeler

Özbekistan ve Rusya’nın yanı sıra Kırgızistan, Kazakistan, Türkiye, Sırbistan ve Belarus’ta da enfeksiyonlar rapor edildi. Hedefler arasında devlet kurumları, lojistik şirketleri, sağlık tesisleri ve eğitim kurumları bulunuyor. Finans sektörüne yönelik saldırılar, grubun birincil motivasyonunun finansal kazanç olduğunu düşündürürken, RAT kullanımının siber casusluk faaliyetlerine de işaret ettiği değerlendiriliyor.

Diğer Tehdit Aktörleri ve Araçlar

Bu dönemde Rusya’daki kuruluşlara yönelik ExCobalt, Punishing Owl ve Vortex Werewolf gibi farklı tehdit gruplarının da aktif olduğu gözlemleniyor. ExCobalt, bilinen güvenlik açıkları ve yüklenici kaynaklı kimlik bilgileriyle erişim sağlarken, Punishing Owl siyasi motivasyonlu hacktivist faaliyetler yürütüyor. Vortex Werewolf ise kalıcı erişim için Tor ve OpenSSH dağıtımı yapıyor. Ayrıca Babuk ve LockBit gibi fidye yazılımları ile PUMAKIT çekirdek rootkit ve Octopus Rust tabanlı ayrıcalık yükseltme aracı gibi gelişmiş zararlılar kullanılıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Phishing e-postalarını tespit etmek için gelişmiş e-posta güvenliği çözümleri kullanın.
  • NetSupport RAT ve benzeri araçların anormal ağ trafiğini SIEM sistemleriyle izleyin.
  • Başlangıç klasörü, Kayıt Defteri ve zamanlanmış görevlerde olağandışı değişiklikleri düzenli olarak kontrol edin.
  • IoT cihazlar için Mirai gibi botnet yüklerine karşı segmentasyon ve sıkı erişim kontrolleri uygulayın.
  • Çok faktörlü kimlik doğrulama (MFA) ve Zero Trust mimarisi ile erişim yönetimini güçlendirin.
  • EDR çözümleri ile zararlı yazılım davranışlarını gerçek zamanlı tespit edin ve otomatik müdahale mekanizmaları kurun.
  • Kurumsal ağlarda düzenli yama yönetimi ve CVE bazlı güvenlik açıklarının kapatılmasını sağlayın.
  • Olay müdahale (incident response) planlarını güncel tutarak saldırı anında hızlı aksiyon alın.

Kampanyanın Teknik Özeti

  • Kullanılan zararlı araçlar: NetSupport RAT, Mirai botnet yükleri, STRRAT, Babuk, LockBit, PUMAKIT rootkit, Octopus araç seti.
  • Hedef sektörler: Finans, üretim, BT, devlet kurumları, lojistik, sağlık ve eğitim.
  • Kullanılan teknikler: Oltalama e-postaları, zararlı PDF ve LNK dosyaları, PowerShell komutları, kalıcılık mekanizmaları.
  • Bilinen zafiyetler: Microsoft Exchange ve diğer kurumsal hizmetlerde 1-gün açıkları (CVE detayları için NVD kaynakları takip edilmeli).
  • Saldırı zinciri: Phishing → Zararlı yükleyici → NetSupport RAT kurulumu → Kalıcılık sağlama → Veri sızıntısı ve uzaktan kontrol.
  • Önerilen savunma: Çok katmanlı güvenlik, e-posta güvenliği, ağ segmentasyonu, MFA, EDR ve düzenli yama yönetimi.

Bu gelişmeler, özellikle finans ve kritik altyapı sektörlerinde çalışan güvenlik ekiplerinin tehdit algılama ve müdahale yeteneklerini artırmaları gerektiğini gösteriyor. Ayrıca, saldırı zincirinde kullanılan araçların ve tekniklerin çeşitliliği, kapsamlı bir siber savunma stratejisinin önemini vurguluyor.

, , , , , , ,