SloppyLemming’in Pakistan ve Bangladeş’teki Hükümet Hedefli Çift Kötü Amaçlı Yazılım Operasyonu

Anasayfa » SloppyLemming’in Pakistan ve Bangladeş’teki Hükümet Hedefli Çift Kötü Amaçlı Yazılım Operasyonu
APT, Saldırı Analizi, Zararlı Yazılım
Mart 3, 2026Mart 3, 2026Tarafından Cybernews.TR
0
SloppyLemming’in Pakistan ve Bangladeş’teki Hükümet Hedefli Çift Kötü Amaçlı Yazılım Operasyonu

Saldırının Genel Çerçevesi

SloppyLemming adlı tehdit aktörü, Ocak 2025 ile Ocak 2026 arasında Pakistan ve Bangladeş’teki hükümet kurumları, enerji, telekomünikasyon ve teknoloji sektörlerindeki kritik altyapı operatörlerini hedef alan karmaşık bir siber saldırı kampanyası yürütmüştür. Bu operasyon, iki farklı kötü amaçlı yazılım zincirini içerir: BurrowShell adlı özel x64 shellcode implantı ve Rust programlama diliyle geliştirilen gelişmiş bir keylogger.

Saldırı Zinciri ve Teknik Detaylar

Başlangıç aşamasında, hedeflere PDF tuzakları ve makro etkinleştirilmiş Excel belgeleri içeren oltalama e-postaları gönderilmiştir. PDF tuzakları, kurbanları ClickOnce uygulama manifestolarına yönlendiren URL’ler içerir. Bu manifestolar, meşru Microsoft .NET çalışma zamanı yürütülebilir dosyası “NGenTask.exe” ile birlikte kötü amaçlı bir yükleyici olan “mscorsvc.dll” dosyasını dağıtır. Yükleyici, DLL yan yükleme (DLL sideloading) yöntemiyle çalıştırılarak BurrowShell implantının şifre çözme ve yürütme işlemini gerçekleştirir.

BurrowShell, dosya sistemi manipülasyonu, ekran görüntüsü alma, uzaktan kabuk yürütme ve SOCKS proxy üzerinden ağ tünelleme gibi tam özellikli arka kapı işlevleri sunar. Komut ve kontrol (C2) trafiği, Windows Update hizmeti iletişimi olarak gizlenir ve RC4 şifrelemesi ile korunur. İkinci saldırı zinciri ise, kötü amaçlı makrolar içeren Excel dosyaları aracılığıyla Rust tabanlı bir keylogger bırakır; bu keylogger port taraması ve ağ keşfi yeteneklerine de sahiptir.

Hangi Sistemler Risk Altında?

SloppyLemming, Pakistan, Bangladeş, Sri Lanka ve Çin’de hükümet organları, kolluk kuvvetleri, enerji ve telekomünikasyon sektörlerindeki hedeflere odaklanmaktadır. Özellikle Pakistan nükleer düzenleyici kurumları, savunma lojistik organizasyonları ve Bangladeş enerji ile finans kurumları öncelikli hedefler arasındadır. Bu durum, bölgedeki stratejik rekabet ve istihbarat toplama önceliklerini yansıtmaktadır.

Tehdit Aktörünün Altyapı ve Yöntemleri

Son analizlerde, SloppyLemming’in altyapısında bir yıl içinde 112 Cloudflare Workers alan adı tespit edilmiştir; bu, Eylül 2024’te işaretlenen 13 alan adına kıyasla önemli bir artıştır. Bu altyapı, hükümet temalı yazım hatası taklit desenleri, Havoc C2 çerçevesinin kullanımı, DLL yan yükleme teknikleri ve hedefleme kalıplarıyla ilişkilendirilmektedir. Ayrıca, Trellix tarafından Ekim 2025’te belgelenen SideWinder kampanyasıyla bazı teknik örtüşmeler gözlemlenmiştir.

Siber Güvenlik Ekipleri İçin Pratik Öneriler

  • Oltalama e-postalarını tespit etmek için gelişmiş e-posta güvenliği çözümleri kullanın ve makro etkinleştirilmiş dosyalara karşı kullanıcı eğitimleri düzenleyin.
  • EDR sistemlerinde BurrowShell ve Rust tabanlı keylogger davranışlarını tespit edecek özel kurallar oluşturun.
  • DLL yan yükleme tekniklerini engellemek için uygulama beyaz listeleme ve dosya bütünlüğü denetimleri uygulayın.
  • ClickOnce manifestolarının kullanımını izleyin ve şüpheli URL erişimlerini firewall ile kısıtlayın.
  • Komut ve kontrol trafiğinin Windows Update gibi meşru hizmetler üzerinden gizlenmesini önlemek için ağ segmentasyonu ve anomali tespiti yapın.
  • Cloudflare Workers gibi üçüncü taraf altyapıların kötüye kullanımına karşı bulut güvenliği politikalarını sıkılaştırın.
  • Port taraması ve ağ keşfi aktivitelerini SIEM sistemleriyle gerçek zamanlı izleyin.
  • MFA ve IAM politikalarını güçlendirerek yetkisiz erişim riskini azaltın.

Teknik Özet

  • Kullanılan zararlılar: BurrowShell (x64 shellcode implantı), Rust tabanlı keylogger
  • Hedef sektörler: Hükümet, enerji, telekomünikasyon, finans
  • Saldırı zinciri: Oltalama e-postası → PDF tuzağı / makro etkin Excel → DLL yan yükleme ile BurrowShell implantı veya keylogger kurulumu → C2 iletişimi (Havoc çerçevesi) → veri sızıntısı ve ağ keşfi
  • Kullanılan teknikler: ClickOnce manifestoları, DLL sideloading, RC4 şifrelemesi, SOCKS proxy tünelleme
  • Önerilen savunma: E-posta güvenliği, EDR kural güncellemeleri, ağ segmentasyonu, MFA, SIEM tabanlı anomali tespiti

Bu gelişmeler, özellikle Güney Asya bölgesindeki kritik altyapıların siber güvenlik risklerini artırmakta ve güvenlik ekiplerinin kapsamlı önlemler almasını zorunlu kılmaktadır.

, , , , , , ,