Dünya, Güvenlik Haberleri, Haberler, Kötü Amaçlı Yazılım, Siber Casusluk, Siber Güvenlik, Siber Güvenlik Haberleri, Tehdit Analizi, Tehdit İstihbaratı, Tehditler, Veri İhlalleri, Zararlı Yazılım

Terk Edilmiş Sogou Zhuyin Güncelleme Sunucusu Casusluk Kampanyasında Kötüye Kullanıldı

Eylül 21, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Terk Edilmiş Sogou Zhuyin Güncelleme Sunucusu Casusluk Kampanyasında Kötüye Kullanıldı

Trend Micro araştırmacıları Nick Dai ve Pierre Lee tarafından yayımlanan rapora göre, saldırganlar Sogou Zhuyin yazılımının güncelleme sunucusunu ele geçirerek, kötü amaçlı yazılım dağıtımı ve hassas veri toplama için karmaşık enfeksiyon zincirleri oluşturdu. Bu kampanya, 2025 Haziranında tespit edilmiş olup TAOTH kod adıyla anılıyor ve hedef kitlesi Çin, Tayvan, Hong Kong, Japonya, Güney Kore ve Tayvan diasporasındaki muhalifler, gazeteciler, araştırmacılar ile teknoloji ve iş liderlerinden oluşuyor.

Ele Geçirilen Alan Adı ve Kötü Amaçlı Yazılım Dağıtımı

2024 Ekim ayında, 2019’dan beri güncelleme almayan Sogou Zhuyin IME servisine ait “sogouzhuyin[.]com” alan adı saldırganların kontrolüne geçti. Bir ay içinde bu alan adı, GTELAM, C6DOOR, DESFY ve TOSHIS gibi çeşitli kötü amaçlı yazılım ailelerini barındırmak için kullanıldı. Bu yazılımlar, uzaktan erişim (RAT), bilgi hırsızlığı ve arka kapı işlevselliği sağlıyor. Saldırganlar, ağ faaliyetlerini gizlemek için Google Drive gibi üçüncü taraf bulut servislerini kötüye kullandı.

Saldırı Zinciri ve Kötü Amaçlı Güncellemeler

Kullanıcılar, İnternet’ten Sogou Zhuyin’in resmi kurulum dosyasını indirirken, Mart 2025’te değiştirilen Çince Vikipedi sayfası gibi kaynaklar onları kötü amaçlı alan adı dl[.]sogouzhuyin[.]com’a yönlendiriyor. Kurulum dosyası zararsız görünse de, birkaç saat sonra otomatik güncelleme süreci “ZhuyinUp.exe” aracılığıyla kötü amaçlı yazılımları indiriyor. Güncelleme yapılandırma dosyası “srv-pc.sogouzhuyin[.]com/v1/upgrade/version” adresinden çekiliyor.

Kötü Amaçlı Yazılım Aileleri ve İşlevleri

TOSHIS, Aralık 2024’te tespit edilen ve Cobalt Strike veya Mythic framework için Merlin ajanı yükleyen bir yükleyici olup Tropic Trooper grubuna bağlı Xiangoop varyantıdır. DESFY, Mayıs 2025’te keşfedilen ve masaüstü ile program dosyalarından dosya adlarını toplayan casus yazılımdır. GTELAM ise belirli dosya uzantılarını (PDF, DOC, XLS, PPT vb.) toplayıp Google Drive’a sızdırır. C6DOOR, HTTP ve WebSocket protokolleri üzerinden komut-alma ve kontrol sağlayan, Go diliyle yazılmış, sistem bilgisi toplama, rastgele komut çalıştırma ve shellcode enjeksiyonu gibi gelişmiş işlevlere sahip bir arka kapıdır.

Oltalama Kampanyaları ve İleri Düzey Hedefleme

TOSHIS, Doğu Asya, Norveç ve ABD’de hedefli oltalama saldırılarıyla da dağıtıldı. Bu saldırılar, sahte giriş sayfaları ve Tencent Cloud StreamLink’i taklit eden sahte bulut depolama sayfaları kullanarak kullanıcıları kötü amaçlı ZIP arşivleri indirmeye yönlendiriyor. Oltalama e-postaları, sahte belgeler ve OAuth izin talepleriyle Google veya Microsoft posta kutularına yetkisiz erişim sağlıyor.

Tehdit Aktörü Profili ve Öneriler

Trend Micro, TAOTH altyapısının ITOCHU tehdit faaliyetleriyle örtüştüğünü belirtiyor. Saldırganlar düşük profilli keşif yaparak yüksek değerli hedefleri belirlemeye odaklanıyor. Kuruluşlara, destek süresi dolmuş yazılımlarını düzenli denetlemeleri ve hızlıca güncellemeleri; kullanıcıların ise bulut uygulamalarının izinlerini dikkatle incelemeleri öneriliyor.

, , , , , , ,