Kaspersky, kurumları hedef alan ve GitHub, Quora gibi platformlardan bilgi toplayan siber saldırılar tespit etti. Saldırılar, 2024’ün ikinci yarısında Çin, Japonya, Malezya, Peru ve Rusya’daki kuruluşlarda görüldü ve 2025’te de devam etti. Mağdurların çoğu büyük ve orta ölçekli işletmeler oldu.
Saldırganlar, hedef kurumların cihazlarına sızmak için, özellikle petrol ve gaz sektöründeki büyük kamu şirketlerinden geliyormuş gibi görünen oltalama e-postaları gönderdi. E-postalarda, alıcıyı kötü amaçlı ekleri açmaya ikna etmek için kuruluşun ürün ve hizmetlerine ilgi gösterildiği belirtildi. Ekte, talep edilen ürün ve hizmetler için gereksinimleri içeren bir PDF dosyası olduğu iddia edildi. Ancak bu PDF’ler aslında kötü amaçlı yazılım içeren çalıştırılabilir EXE ve DLL dosyaları içeriyordu.
Saldırganlar, DLL highjacking tekniklerinden yararlanarak, geliştiricilerin uygulamaları için ayrıntılı çökme raporları almalarına yardımcı olan Crash reporting Send Utility’den faydalandı. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için GitHub, Microsoft Learn Challenge, Quora ve Rus sosyal medya platformlarında depolanan şifrelenmiş kodları indirdi. Bu platformlardaki profiller ve sayfalar, bu tür bir saldırı için özel olarak oluşturulmuştu. Kötü amaçlı kod hedef makinelerde çalıştırıldıktan sonra Cobalt Strike Beacon başlatıldı ve sistemler ele geçirildi.
Kaspersky Kötü Amaçlı Yazılım Analisti Ekip Lideri Maxim Starodubov, saldırganların uzun süredir bilinen araçları gizlemek için giderek daha karmaşık yöntemler kullandığını belirtti. Starodubov, bu tür saldırılardan korunmak için en son tehdit istihbaratıyla güncel kalmanın önemli olduğunu vurguladı.
Kötü amaçlı kodun indirme adresini elde etmek için kullanılan yöntem, Çince konuşan aktörlerle bağlantılı EastWind kampanyasına benziyor.
Kaspersky, kurumların dijital altyapının durumunu takip etmelerini, toplu e-postalara gömülü kötü amaçlı yazılımları tespit edip engellemelerini, siber güvenlik farkındalığını artırmak için personeli eğitmelerini ve saldırıları erken aşamalarda tespit edip engelleyen çözümlerle kurumsal cihazların güvenliğini sağlamalarını öneriyor.
