Siber güvenlik dünyasında yeni bir tehdit dalgası daha gün yüzüne çıktı. ANY.RUN, interaktif kötü amaçlı yazılım analizi ve tehdit istihbaratı çözümleri sunan öncü bir firma olarak, Brezilya'da 20'den fazla devlet web sitesinin ele geçirildiğini ve PhantomEnigma adlı aktif bir kampanyada kötü amaçlı yazılım dağıtım kanalı olarak kullanıldığını duyurdu. Araştırma, daha önce belgelenmemiş backdoor davranışlarını, gizli altyapı ilişkilerini ve bankalar ile kamu kurumlarını risk altına sokan çoklu saldırı kollarını ortaya çıkardı. ANY.RUN araştırmacıları, yüzlerce görünüşte alakasız sanal alan oturumunu birbirine bağlayarak operasyonun daha geniş kapsamını ortaya çıkardı ve güvenilir .gov.br bağlantıları ile doğrulanmış e-postaların faaliyetlerin gizli kalmasına nasıl yardımcı olduğunu gösterdi.
Saldırı, sahte polis temalı belgelerle başladı. Kurbanlara resmi 'Ofício Polícia Civil' veya 'Procuração Digital' bildirimleri olarak sunulan bu belgeler, bazı durumlarda QR kodları içerirken, bazıları meşru devlet kaynaklarına benzeyen bağlantılara yönlendiriyordu. E-postalar, ele geçirilmiş posta kutuları aracılığıyla gönderiliyor ve SPF, DKIM ve DMARC kontrollerini geçiyordu. Bu, mesajlara sıradan kimlik avı e-postalarından daha güçlü bir meşruiyet görünümü kazandırıyordu. Kurbanlar daha sonra, kötü amaçlı yükleyiciye ulaşmadan önce ele geçirilmiş .gov.br ana bilgisayarları veya polis temalı benzer alan adları üzerinden yönlendiriliyordu. Devlet sistemleri, kampanyanın nihai hedefleri olarak değil, güvenilir dağıtım altyapısı olarak kullanılıyordu.
Araştırma sırasında gözlemlenen ele geçirilmiş sistemler arasında timon.ma.gov.br, loginam.sesp.es.gov.br (eyalet kamu güvenliği), aplicacao.cbm.mt.gov.br (itfaiye), prodoc.ap.gov.br ve diğerleri yer alıyordu. Bu meşru belediye, kamu güvenliği ve adli portallar, dağıtım zincirinin farklı aşamalarında kullanıldı. Bazıları, PhantomEnigma'nın birden fazla saldırı kolunda da görülerek araştırmacıların başlangıçta alakasız görünen faaliyetleri birbirine bağlamasına yardımcı oldu.
PhantomEnigma'nın evrimi, iki ana yol izleyerek gerçekleşti. Dağıtım açısından, kampanya 2025'te bankacılık odaklı faaliyetlerden, 2026'da ele geçirilmiş .gov.br web sitelerini ve e-posta hesaplarını kötüye kullanmaya geçti. Bu, kampanyaya kurbanlara daha güvenilir bir rota sağladı. Silah cephesinde ise, kötü amaçlı yazılım bir tarayıcı uzantısı bankacılık truva atından, JavaScript çalıştırabilen ve ek yükler teslim edebilen modüler bir Inno/Node.js backdoor'una dönüştü. Güvenlik ekipleri için bu kombinasyon ciddi bir görünürlük boşluğu yaratıyor: güvenilir altyapı şüpheyi azaltıyor, modüler yükler enfeksiyondan sonra değişebiliyor ve dönen C2 alan adları statik engelleme listelerini hızla geçersiz kılıyor.
Bir kurban yemle etkileşime girdiğinde, kampanya çok aşamalı bir enfeksiyon zincirinden geçiyordu. İlk olarak, sahte polis temalı veya resmi belge yemi içeren bir kimlik avı e-postası kurbanı hedefliyor. Ardından, bağlantı ele geçirilmiş bir devlet ana bilgisayarı veya polis temalı benzer alan adı üzerinden yönlendiriliyor. Sonra, bir Inno Setup, MSI veya başka bir yükleyici enfeksiyonu başlatıyor. Yama yapılmış bir Electron uygulaması (Boostnote gibi), meşru yazılımın içine kötü niyetli bir index.js backdoor'u yüklüyor. Backdoor etkinleştirildiğinde, sistem verilerini topluyor, kalıcılık sağlıyor ve dönen C2 altyapısına bağlanıyor. İkinci aşama teslimatında, backdoor JavaScript çalıştırabiliyor veya stealer, loader, RMM yazılımı gibi ek yükler teslim edebiliyor. Bu enfeksiyon, kimlik bilgilerinin ele geçirilmesi, yetkisiz erişim, dolandırıcılık, veri ifşası ve operasyonel aksamalara yol açabiliyor.
Gelecekte Ne Bekleniyor?
Sanal alan oturumları, basit bir indiriciden daha fazlasını ortaya çıkardı. Yama yapılmış Boostnote ve diğer uygulamaların içinde gizlenmiş, enfekte makineleri tanımlamak, erişimi sürdürmek ve talep üzerine farklı yükler teslim etmek için inşa edilmiş modüler bir index.js backdoor'u bulunuyordu. Backdoor, kurbanın bilgisayar adını, kullanıcı adını ve sistem detaylarını toplayabiliyor, kalıcı bir makine kimliği oluşturup yükleyicinin yanında saklanan bir kampanya etiketini okuyabiliyor, oturum açma ayarları aracılığıyla kalıcılık sağlayabiliyor, her 180 saniyede bir yeni komutları kontrol edebiliyor, eval() aracılığıyla doğrudan JavaScript çalıştırabiliyor, yürütülebilir yükleri indirip başlatabiliyor ve dönen altyapı üzerinden birden çok işaret formatıyla iletişim kurabiliyordu. Bu modüler tasarım, operatörün tüm enfeksiyon zincirini yeniden oluşturmadan nihai yükü değiştirmesine olanak tanıyor.
PhantomEnigma, saldırganların güvenilir altyapıyı nasıl bir tespit avantajına dönüştürebileceğini gösteriyor. Meşru bir devlet alan adı, doğrulanmış bir e-posta veya temiz dosya kararı, enfeksiyon zinciri zaten aktif olsa bile şüpheyi azaltabiliyor. Bankalar ve kamu sektörü kuruluşları için risk, tek bir tehlikeye atılmış uç noktanın ötesine geçiyor. Çalınan kimlik bilgileri ve kalıcı backdoor erişimi, iç sistemleri, hassas verileri ve finansal operasyonları ifşa edebilirken, parçalanmış uyarılar müdahaleyi geciktiriyor. Güvenlik ekipleri, çalışanların şüpheli resmi görünümlü mesajları güvenli bir şekilde bildirmeleri için bir yol sağlamalı ve bu mesajları ilk kararın ötesinde araştırmalıdır.
Detaylar ve Etkileri
Sonuç olarak, PhantomEnigma kampanyası, siber tehditlerin giderek daha sofistike hale geldiğini ve güvenilir altyapının bile nasıl silaha dönüştürülebileceğini gözler önüne seriyor. ANY.RUN'un sağladığı kapsamlı analiz, bu tür tehditlerin anlaşılması ve savunma mekanizmalarının geliştirilmesi için kritik öneme sahip. Güvenlik ekipleri, yalnızca geleneksel imza tabanlı tespitlere güvenmek yerine, davranışsal analiz ve sürekli tehdit avcılığı gibi daha proaktif yaklaşımları benimsemelidir. PhantomEnigma'nın ortaya çıkardığı gibi, güvenilir kaynaklardan gelen tehditler, en dikkatli kullanıcıları bile hedef alabilir.
Kaynak: thehackernews.com