Anasayfa » BAE Hava Yolu Sektörünü Hedef Alan Tehdit
Categories

BAE Hava Yolu Sektörünü Hedef Alan Tehdit

  • 5 Mart 2025

Ekim 2024’ün sonlarında Proofpoint tarafından tespit edilen yeni bir kimlik avı kampanyası, Birleşik Arap Emirlikleri’ndeki (BAE) beşten az kurumu hedef aldı. Bu kampanya, daha önce belgelenmemiş Sosano adlı bir Golang arka kapısını dağıtmak için kullanıldı. Özellikle havacılık ve uydu iletişimi organizasyonlarını hedef alan bu kötü niyetli faaliyet, UNK_CraftyCamel olarak adlandırılan bir saldırı kümesi tarafından gerçekleştirildi. Tehdit aktörleri, Hindistanlı elektronik şirketi INDIC Electronics’e ait ele geçirilmiş bir e-posta hesabını kullanarak kimlik avı mesajları gönderdi. Bu şirketin tüm hedeflerle güvenilir bir iş ilişkisi içinde olduğu ve oltalama tuzaklarının her hedefe özel olarak hazırlandığı belirtildi.

Saldırı Yöntemi

Saldırganlar, Hindistanlı elektronik şirketinin gerçek bir alan adı gibi görünen sahte bir alan adı (“indicelectronics[.]net”) oluşturdu. Bu sahte web sitesi, bir ZIP arşivi barındırıyordu ve içinde bir XLS dosyası ile iki PDF belgesi bulunuyordu.

Ancak, gerçekte bu dosyalar şunlardı:
  • XLS dosyası: Çift uzantılı bir Windows kısayolu (LNK) olup, Excel belgesi gibi görünüyordu.
  • İki PDF dosyası: Bunlar aslında çok formatlı (polyglot) dosyalardı.
  • Birinci dosya HTML Uygulaması (HTA) dosyası içeriyordu.
  • İkinci dosya ise içine ZIP arşivi gömülmüş bir dosyaydı.

Bu teknik sayesinde, PDF dosyaları farklı programlar tarafından farklı biçimlerde algılanabiliyordu

Yapılan saldırı süreci şu şekilde ilerliyordu:

  1. LNK dosyası, cmd.exe komutuyla çalıştırılıyor
  2. mshta.exe komutu kullanılarak HTA dosyası içeren PDF dosyası yürütülüyor
  3. HTA betiği, ikinci PDF içindeki ZIP arşivini açacak komutları çalıştırıyor.
  4. ZIP arşivi içindeki dosyalardan biri, bir internet kısayolu (URL) dosyası olarak görev yapıyor
  5. Bu dosya, bir ikili dosya yükleyerek, gizlenmiş bir görüntü dosyasını (XOR şifrelemeli) çözerek yürütüyor ve sonuç olarak Sosano adlı arka kapı yazılımını (DLL) çalıştırıyor.

Sosano Arka Kapısı ve İşlevleri

Golang programlama diliyle yazılan Sosano, aşağıdaki işlemleri gerçekleştirebilen sınırlı işlevselliğe sahip bir zararlı yazılımdır:

  • sosano: Mevcut çalışma dizinini almak veya değiştirmek
  • yangom: Dizindeki içerikleri listelemek
  • monday: Bilinmeyen bir sonraki aşama yükünü indirip çalıştırmak
  • raian: Bir dizini silmek veya kaldırmak
  • lunna: Kabuk (shell) komutları çalıştırmak

Proofpoint, UNK_CraftyCamel’in saldırı yöntemlerinin bilinen hiçbir tehdit aktörüyle doğrudan örtüşmediğini belirtiyor.

Diğer yazılarımızı okumak isterseniz tıklayabilirsiniz.

More Reading

Post navigation

Leave a Comment

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Siber Güvenlikten Daha Fazlası