Siber güvenlik dünyasında endişe verici bir gelişme yaşandı. ANY.RUN, interaktif kötü amaçlı yazılım analizi ve tehdit istihbaratı alanında lider bir sağlayıcı olarak, PhantomEnigma adlı aktif bir kampanyayı gün yüzüne çıkardı. Bu kampanyada 20'den fazla Brezilya devlet web sitesi ele geçirilerek kötü amaçlı yazılım dağıtım kanalına dönüştürüldü. Araştırma, daha önce bilinmeyen backdoor davranışlarını, gizli altyapı ilişkilerini ve bankalar ile kamu kurumlarını riske atan birden fazla saldırı kolunu ortaya çıkardı.
Saldırı, sahte polis temalı belgelerle başladı. Resmi 'Ofício Polícia Civil' veya 'Procuração Digital' bildirimleri olarak sunulan bu belgeler, QR kodları veya meşru devlet kaynakları gibi görünen bağlantılar içeriyordu. ANY.RUN'un tespitlerine göre, e-postalar güvenliği ihlal edilmiş posta kutuları üzerinden gönderildi ve SPF, DKIM ile DMARC kontrollerini geçti. Bu da mesajların sıradan kimlik avı e-postalarına kıyasla çok daha meşru görünmesini sağladı.
Kurbanlar, kötü amaçlı yükleyiciye ulaşmadan önce güvenliği ihlal edilmiş .gov.br sunucuları veya polis temalı benzer alan adları üzerinden yönlendirildi. Araştırmada tespit edilen güvenliği ihlal edilmiş sistemler arasında timon.ma.gov[.]br, loginam.sesp.es.gov[.]br (eyalet kamu güvenliği), aplicacao.cbm.mt.gov[.]br (itfaiye) ve prodoc.ap.gov[.]br gibi adresler bulunuyor. Bu meşru belediye, kamu güvenliği ve yargı portalları, teslimat zincirinin farklı aşamalarında kullanıldı.
PhantomEnigma kampanyası zaman içinde iki ana yolda evrimleşti. Teslimat tarafında, 2025'te bankacılık odaklı faaliyetlerden 2026'da güvenliği ihlal edilmiş .gov.br web sitelerini ve e-posta hesaplarını kötüye kullanmaya geçti. Silah tarafında ise tarayıcı eklentisi bankacılık truva atından, JavaScript çalıştırabilen ve ek yükler teslim edebilen modüler bir Inno/Node.js backdoor'una dönüştü. Bu kombinasyon, güvenlik ekipleri için ciddi bir görünürlük açığı oluşturuyor.
Teknik Analiz
Saldırı zinciri, kimlik avı e-postasıyla başlayıp güvenliği ihlal edilmiş devlet altyapısı üzerinden yönlendirme, Inno Setup veya MSI gibi kötü amaçlı yükleyicilerin indirilmesi, yamalanmış bir Electron uygulaması (Boostnote gibi) içine gizlenmiş index.js backdoor'unun etkinleştirilmesi ve ardından ikinci aşama yüklerin (stealer, loader, RMM yazılımı vb.) teslim edilmesiyle devam ediyor. Backdoor, sistem verilerini topluyor, kalıcılık sağlıyor ve dönen C2 altyapısına bağlanıyor.
Araştırmacılar, backdoor'un basit bir indiriciden çok daha fazlası olduğunu keşfetti. Modüler yapısı sayesinde operatör, enfeksiyon zincirini yeniden oluşturmadan nihai yükü değiştirebiliyor. Aynı yükleyiciye maruz kalan bir sistem daha sonra farklı türde kötü amaçlı yazılımlar alabiliyor. Bu da tespit ve müdahaleyi zorlaştırıyor. Bankalar ve kamu sektörü kuruluşları için risk, çalınan kimlik bilgileri ve kalıcı backdoor erişimi nedeniyle iç sistemlerin, hassas verilerin ve finansal işlemlerin ifşasına kadar uzanıyor.
Güvenlik ekiplerinin, resmi görünümlü şüpheli mesajları bildirmek için çalışanlara güvenli bir yol sağlaması ve bu mesajları ilk değerlendirmenin ötesinde araştırması kritik önem taşıyor. Güvenilir altyapıyı kullanan bu tür saldırıları tespit etmek için davranışsal analiz ve sürekli tehdit avcılığı, statik blok listelerinden çok daha etkili bir koruma sağlıyor. PhantomEnigma vakası, siber tehditlerin giderek daha sofistike hale geldiğini ve savunma stratejilerinin de buna ayak uydurması gerektiğini bir kez daha gösteriyor.
Kaynak: thehackernews.com