Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Gelişmiş Sürekli Tehdit (APT) Olalampo Operasyonu Saldırı Kampanyası

Olalampo Operasyonu Saldırı Kampanyası

Mezo'de Gelişmiş Sürekli Tehdit (APT), Kötü amaçlı yazılım'de
Çevir:

İran devletiyle bağlantılı tehdit grubu MuddyWater (Earth Vetala, Mango Sandstorm ve MUDDYCOAST olarak da biliniyor), Olalampo Operasyonu adı verilen yeni bir siber saldırı başlattı. Operasyon, öncelikle Orta Doğu ve Kuzey Afrika (MENA) bölgesindeki örgütleri ve bireyleri hedef alıyor.

İlk olarak 26 Ocak 2026'da tespit edilen bu saldırı, daha önce grupla ilişkilendirilen bileşenleri yeniden kullanırken birden fazla yeni kötü amaçlı yazılım ailesini de ortaya çıkarıyor. Güvenlik araştırmacıları, bu faaliyetin MuddyWater'ın yerleşik operasyonel modellerinin devamı niteliğinde olduğunu ve META bölgesinde (Orta Doğu, Türkiye ve Afrika) kalıcı varlığını güçlendirdiğini belirtiyor.

Enfeksiyon Vektörleri ve Saldırı Zincirleri

Kampanya, daha önceki MuddyWater operasyonlarıyla tutarlı, tanıdık bir sızma metodolojisini izliyor. İlk erişim genellikle kötü amaçlı Microsoft Office ekleri içeren hedefli oltalama e-postalarıyla başlar. Bu belgeler, kurbanın sisteminde zararlı yazılımları çözmek ve çalıştırmak için tasarlanmış makro kodları içerir ve sonuç olarak saldırganlara uzaktan kontrol imkanı sağlar.

Çeşitli saldırı varyasyonları gözlemlenmiştir:

  • Kötü amaçlı bir Microsoft Excel belgesi, kurbanlardan makroları etkinleştirmelerini ister ve bu da Rust tabanlı CHAR arka kapısının devreye girmesini tetikler.
  • İlgili bir varyant ise GhostFetch indiricisini sunar ve bu indirici daha sonra GhostBackDoor kötü amaçlı yazılımını yükler.
  • Üçüncü bir enfeksiyon zinciri, HTTP_VIP indiricisini dağıtmak için Orta Doğu enerji ve denizcilik hizmetleri şirketini taklit etmek yerine, uçak biletleri veya operasyonel raporlar gibi temalı yemler kullanıyor. Bu varyant, kalıcı erişim için AnyDesk uzaktan masaüstü uygulamasını kuruyor.

Ayrıca, grubun internete açık sunuculardaki yeni ortaya çıkan güvenlik açıklarından yararlanarak hedef ortamlara ilk erişimi sağladığı gözlemlenmiştir.

Kötü Amaçlı Yazılım Cephaneliği: Özel Araçlar ve Modüler İmplantlar

Olalampo Operasyonu, keşif, kalıcılık ve uzaktan kontrol için tasarlanmış yapılandırılmış, çok aşamalı bir kötü amaçlı yazılım ekosistemine dayanmaktadır. Bu kampanyada tespit edilen başlıca araçlar şunlardır:

GhostFetch – Fare hareketini ve ekran çözünürlüğünü doğrulayarak, hata ayıklama araçlarını tespit ederek, sanal makine kalıntılarını belirleyerek ve antivirüs yazılımlarını kontrol ederek ele geçirilmiş sistemleri profillemek için kullanılan ilk aşama bir indirme aracıdır. İkincil zararlı yazılımları doğrudan bellekte alır ve yürütür.

GhostBackDoor – GhostFetch tarafından sunulan ikinci aşama bir kötü amaçlı yazılımdır. Etkileşimli shell erişimi, dosya okuma/yazma işlemleri sağlar ve GhostFetch'i yeniden başlatabilir.

HTTP_VIP – Sistem keşfi gerçekleştiren ve kimlik doğrulama için harici "codefusiontech(dot)org" alanına bağlanan yerel bir indirme aracıdır. AnyDesk'i bir komuta ve kontrol (C2) sunucusundan dağıtır. Daha yeni bir sürüm, kurban verisi toplama, etkileşimli kabuk yürütme, dosya aktarımları, pano yakalama ve yapılandırılabilir sinyal gönderme aralıklarıyla işlevselliği artırır.

CHAR – 'Olalampo' (kullanıcı adı: stager_51_bot) olarak tanımlanan bir Telegram botu aracılığıyla kontrol edilen, Rust tabanlı bir arka kapı yazılımıdır. Dizin navigasyonunu ve cmd.exe veya PowerShell komutlarının yürütülmesini destekler.

CHAR ile ilişkili PowerShell işlevselliği, SOCKS5 ters proxy'sinin veya Kalim adlı ek bir arka kapının çalıştırılmasını sağlar. Ayrıca tarayıcı verilerinin sızdırılmasını kolaylaştırır ve 'sh.exe' ve 'gshdoc_release_X64_GUI.exe' etiketli yürütülebilir dosyaları başlatır.

Yapay Zeka Destekli Geliştirme ve Kod Çakışması

CHAR'ın kaynak kodunun teknik analizi, yapay zekâ destekli geliştirmenin göstergelerini ortaya çıkardı. Hata ayıklama dizelerinde emojilerin bulunması, Google'ın daha önce açıkladığı bulgularla örtüşüyor; Google, MuddyWater'ın özellikle dosya aktarımı ve uzaktan çalıştırma yetenekleri için kötü amaçlı yazılım geliştirmeyi geliştirmek amacıyla üretken yapay zekâ araçlarıyla deneyler yaptığını bildirmişti.

Daha detaylı analizler, CHAR ile grubun daha önce Orta Doğu'daki kuruluşlara karşı kullandığı Rust tabanlı kötü amaçlı yazılım BlackBeard (Archer RAT veya RUSTRIC olarak da bilinir) arasında yapısal ve çevresel benzerlikler olduğunu göstermektedir. Bu örtüşmeler, ortak geliştirme süreçlerini ve araçların yinelemeli olarak iyileştirilmesini düşündürmektedir.

Genişleyen Yetenekler ve Stratejik Niyet

MuddyWater, META bölgesinde sürekli gelişen ve varlığını sürdüren bir tehdit unsuru olmaya devam ediyor. Yapay zeka destekli geliştirmenin entegrasyonu, özel olarak tasarlanmış kötü amaçlı yazılımların sürekli iyileştirilmesi, kamuya açık güvenlik açıklarının istismar edilmesi ve komuta kontrol altyapısının çeşitlendirilmesi, operasyonel genişlemeye yönelik uzun vadeli bir kararlılığı topluca göstermektedir.

Olalampo Operasyonu, grubun MENA bölgesindeki hedeflere yönelik sürekli odağını ve sızma yeteneklerinin artan karmaşıklığını vurgulamaktadır. Bölgede faaliyet gösteren kuruluşlar, bu gelişen tehdit ortamına maruz kalmayı azaltmak için yüksek düzeyde teyakkuzda olmalı, makro kısıtlamaları uygulamalı, giden Komuta ve Kontrol (C2) iletişimlerini izlemeli ve zamanında güvenlik açığı giderme çalışmalarına öncelik vermelidir.

trend

Federal Equity Trust Bank Tazminat E-posta...

Kimlik avı, İstenmeyen e-posta
Günümüzün tehdit ortamında beklenmedik e-postalarla başa çıkarken tetikte olmak çok önemlidir. Siber suçlular, güven kazanmak ve alıcıları hassas bilgileri ifşa etmeye veya para göndermeye yönlendirmek için sıklıkla saygın kurumları taklit ederler. Sözde Federal Equity Trust Bank Tazminat e-postası da bunun bir örneğidir. Bu mesajlar herhangi bir meşru şirket, banka, kuruluş veya devlet...

En çok görüntülenen

Yükleniyor...