SideWinder, ClickOnce Tabanlı Yeni Enfeksiyon Zinciriyle Güney Asya Diplomatik Hedeflerine Yöneliyor

Ekim 29, 2025Ekim 29, 2025Tarafından Cybernews.TR

2025 yılının Mart ve Eylül ayları arasında dört dalga halinde gerçekleşen SideWinder saldırıları, Güney Asya’daki diplomatik kurumları hedef alan gelişmiş çok aşamalı bir oltalama kampanyasını ortaya koyuyor. Trellix araştırmacıları Ernesto Fernández Provecho ve Pham Duy Phuc tarafından yayımlanan rapora göre, grup Microsoft Word istismar vektörlerine ek olarak, yeni bir PDF ve ClickOnce tabanlı enfeksiyon zincirini kullanmaya başladı.

ClickOnce ve Sahte DLL ile Gizlenen Tehdit

İlk aşamada, mağdura gönderilen oltalama e-postalarında “Inter-ministerial meeting Credentials.pdf” veya “India-Pakistan Conflict -Strategic and Tactical Analysis of the May 2025.docx” gibi dikkat çekici başlıklara sahip Word ve PDF belgeleri yer alıyor. Bu belgeler, mağduru Adobe Reader’ın en güncel sürümünü indirmeye teşvik eden butonlar içeriyor. Bu işlem, uzak bir sunucudan (“mofa-gov-bd.filenest[.]live”) ClickOnce uygulamasının indirilmesini tetikliyor. ClickOnce uygulaması, MagTek Inc.’den alınmış geçerli bir imzaya sahip “ReaderConfiguration.exe” adlı meşru bir yürütülebilir dosya olarak kılık değiştirmiş durumda. Uygulama çalıştırıldığında, kötü amaçlı “DEVOBJ.dll” adlı bir DLL yan yükleniyor ve mağdura sahte bir PDF gösteriliyor.

ModuleInstaller ve StealerBot: Çok Katmanlı Kötü Amaçlı Yazılım Zinciri

Sahte DLL, ModuleInstaller adlı .NET tabanlı bir yükleyiciyi şifre çözerek başlatıyor. ModuleInstaller, enfekte sistemde kapsamlı profil çıkarma yaparak, StealerBot adlı gelişmiş bir .NET implantını teslim ediyor. StealerBot, ters kabuk açabilme, ek kötü amaçlı yazılım indirme ve ekran görüntüsü, tuş vuruşu, şifre ve dosya gibi hassas verileri toplama yeteneklerine sahip. Bu kötü amaçlı yazılımlar, Kaspersky tarafından 2024 Ekim ayında Orta Doğu ve Afrika’daki stratejik hedeflere yönelik saldırılarda da tespit edilmişti.

Güvenlik Analizi ve Teknik Derinlik

ClickOnce uygulamasının komut ve kontrol (C2) sunucusuna yaptığı istekler sadece Güney Asya bölgesiyle sınırlandırılmış ve yük indirme yolları dinamik olarak oluşturuluyor, bu da analiz ve tespit çabalarını zorlaştırıyor. Ayrıca, saldırı zincirinde kullanılan .NET implantları, AsyncRAT benzeri ters kabuk yetenekleri ve gelişmiş veri sızdırma modülleri barındırıyor. ModuleInstaller, Pydantic AI tabanlı konfigürasyon doğrulaması ve MCP istemcisi entegrasyonlarıyla otomatikleştirilmiş yükleme süreçlerine sahip. Bazı örneklerde, konteyner ortamlarında rastgele açılan SSH portları üzerinden ek lateral hareketler gerçekleştirildiği gözlemlenmiştir.

Sonuç ve Değerlendirme

SideWinder’ın bu yeni saldırı zinciri, grubun gelişmiş kaçınma teknikleri ve jeopolitik bağlamları derinlemesine anlama yeteneğini ortaya koyuyor. Çok dalgalı oltalama kampanyaları, hedef odaklı ve son derece spesifik tuzaklar oluşturma becerisini gösterirken, meşru uygulamaların yan yükleme için kullanılması da grubun teknik olgunluğunu vurguluyor. Güvenlik profesyonelleri için bu tür çok katmanlı ve dinamik saldırı modellerine karşı savunma stratejileri geliştirmek kritik önem taşıyor.

ClickOnce, cybersecurity, Güney Asya, ModuleInstaller, PDF Exploit, SideWinder, spear-phishing, StealerBot

Daha fazla gönderi

Aralık 03, 2025Aralık 3, 2025

İran Kaynaklı MuddyWater Grubu, İsrail ve Bölgedeki Kritik Sektörlere Yeni MuddyViper Arka Kapısıyla Saldırıyor

Son dönemde İran bağlantılı MuddyWater hacker grubu, İsrail başta olmak üzere Orta Doğu'daki kamu ve özel sektör kuruluşlarına yönelik gelişmiş saldırılar düzenliyor. Yeni MuddyViper arka kapısı ve Fooder yükleyicisiyle yürütülen kampanyalar, oltalama ve VPN zafiyetleri üzerinden sistemlere sızmayı hedefliyor. Siber güvenlik ekipleri için saldırı zinciri ve savunma önerileri kritik önem taşıyor.

Daha Fazla Oku

Kasım 24, 2025Kasım 25, 2025

APT31’in Rus BT Sektörüne Yönelik Bulut Tabanlı Gizli Saldırıları ve Türkiye İçin Riskler

Çin bağlantılı APT31 grubu, 2024-2025 döneminde Rusya'nın bilgi teknolojileri sektörüne yönelik karmaşık ve uzun süre fark edilmeden yürütülen siber saldırılar düzenliyor. Saldırılarda Yandex Cloud ve Microsoft OneDrive gibi meşru bulut hizmetleri komut ve kontrol altyapısı olarak kullanılırken, saldırganlar gelişmiş araç setleriyle altyapılara sızıyor ve kritik verileri çalıyor. Türkiye’deki kuru

Daha Fazla Oku

Kasım 17, 2025Kasım 17, 2025

Saldırganların LinkedIn Üzerinden Phishing Yapmasının Teknik ve Stratejik Nedenleri

LinkedIn, geleneksel e-posta güvenlik önlemlerini aşan ve yüksek değerli hedeflere doğrudan erişim sağlayan bir oltalama platformu olarak öne çıkıyor. Hesap ele geçirme, yapay zekâ destekli mesajlaşma ve çok kanallı saldırı teknikleriyle birleşen bu tehdit, kurumsal güvenlik için ciddi bir risk oluşturuyor. Modern çözümler ve proaktif yaklaşımlar, bu gelişmiş oltalama saldırılarına karşı kritik önem taşıyor.

Daha Fazla Oku

Kasım 03, 2025Kasım 3, 2025

Kötü Amaçlı VSX Uzantısı “SleepyDuck” Komut Sunucusunu Ethereum ile Ayakta Tutuyor

SleepyDuck adlı kötü amaçlı VSX uzantısı, Ethereum blok zinciri üzerinden komut ve kontrol sunucusunu güncelleyerek aktif kalıyor. Uzantı, Solidity geliştiricilerini hedef alıyor ve sistem bilgilerini topluyor. Ayrıca, başka kötü amaçlı uzantılar da VS Code Marketplace'te tespit edildi. Kullanıcıların uzantıları güvenilir kaynaklardan indirmeleri öneriliyor.

Daha Fazla Oku

P	S	Ç	P	C	C	P
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31