Brezilya'da 20'den Fazla Devlet Sitesi Ele Geçirildi: PhantomEnigma Kampanyası Bankaları ve Kamu Kurumlarını Hedef Alıyor Siber Güvenlik

Brezilya'da 20'den Fazla Devlet Sitesi Ele Geçirildi: PhantomEnigma Kampanyası Bankaları ve Kamu Kurumlarını Hedef Alıyor

Brezilya'da 20'den fazla devlet web sitesi ele geçirilerek PhantomEnigma kampanyasında kötü amaçlı yazılım dağıtım kanalı olarak kullanıldı. ANY.RUN a

Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor. ANY.RUN tarafından yürütülen kapsamlı bir araştırma, Brezilya'ya ait 20'den fazla hükümet web sitesinin ele geçirilerek “PhantomEnigma” adlı bir kampanyada kötü amaçlı yazılım dağıtım kanalına dönüştürüldüğünü ortaya koydu. Bu kampanya, güvenilir devlet altyapısını kullanarak bankaları ve kamu kurumlarını hedef alıyor. Araştırmacılar, daha önce bilinmeyen arka kapı davranışlarını, gizli altyapı ilişkilerini ve saldırının birden fazla kolunu gün yüzüne çıkardı.

Saldırı, sahte polis temalı belgelerle başlıyor. Kurbanlara “Ofício Polícia Civil” veya “Procuração Digital” gibi resmi görünümlü bildirimler e-posta yoluyla gönderiliyor. Bazı e-postalar QR kodu içerirken, diğerleri meşru devlet kaynaklarına benzeyen bağlantılar yönlendiriyor. ANY.RUN araştırmacıları, e-postaların bir kısmının ele geçirilmiş e-posta hesapları üzerinden gönderildiğini ve SPF, DKIM, DMARC kontrollerini geçerek sıradan kimlik avı e-postalarına kıyasla çok daha güvenilir göründüğünü belirtiyor.

Kampanyanın en dikkat çekici yönü, saldırının .gov.br uzantılı güvenilir devlet web sitelerini kullanması. Timon.ma.gov.br, loginam.sesp.es.gov.br (eyalet kamu güvenliği), aplicacao.cbm.mt.gov.br (itfaiye) ve prodoc.ap.gov.br gibi siteler, kurbanları kötü amaçlı yazılım yükleyicisine yönlendirmek için kullanılıyor. Bu siteler aslında saldırının nihai hedefi değil, güvenilir bir dağıtım kanalı olarak işlev görüyor. Araştırmacılar, bu sitelerin birden fazla saldırı kolunda kullanıldığını ve başlangıçta ilgisiz görünen faaliyetleri birbirine bağladığını belirtiyor.

Teknik Analiz

PhantomEnigma kampanyası zaman içinde iki ana yönde evrim geçirdi. Teslimat yöntemi olarak 2025'te bankacılık odaklı faaliyetlerden, 2026'da ele geçirilmiş .gov.br siteleri ve e-posta hesaplarını kullanmaya geçti. Silah cephesinde ise, tarayıcı eklentisi tabanlı bir bankacılık truva atından, JavaScript çalıştırabilen ve ek yükler indirebilen modüler bir Inno/Node.js arka kapısına dönüştü. Bu evrim, güvenlik ekipleri için ciddi bir görünürlük açığı yaratıyor: güvenilir altyapı şüpheyi azaltırken, modüler yükler enfeksiyon sonrası değişebiliyor ve hızla değişen C2 alan adları statik blok listelerini geçersiz kılıyor.

Uzmanların Görüşleri

Saldırı zinciri, kurbanın yemle etkileşime girmesiyle başlıyor ve çok aşamalı bir enfeksiyon sürecine dönüşüyor. İlk aşamada kimlik avı e-postası gönderiliyor, ardından ele geçirilmiş devlet sunucusu veya sahte polis alan adı üzerinden yönlendirme yapılıyor. Sonrasında Inno Setup, MSI veya başka bir yükleyici aracılığıyla kötü amaçlı yazılım bulaştırılıyor. Boostnote gibi yamalanmış bir Electron uygulaması, index.js arka kapısını yüklüyor. Arka kapı etkinleştiğinde sistem bilgilerini topluyor, kalıcılık sağlıyor ve dönen C2 altyapısına bağlanıyor. İkinci aşamada ise JavaScript çalıştırılıyor veya stealer, loader, RMM gibi ek yükler indiriliyor. Sonuç olarak kimlik bilgileri çalınıyor, yetkisiz erişim sağlanıyor ve operasyonel aksamalar meydana geliyor.

ANY.RUN araştırmacıları, arka kapının modüler yapısını detaylıca inceledi. Boostnote gibi meşru uygulamaların içine gizlenen index.js, enfekte makineleri tanımlamak, erişimi sürdürmek ve talep üzerine farklı yükler dağıtmak üzere tasarlanmış. Arka kapı; bilgisayar adı, kullanıcı adı ve sistem detaylarını toplayabiliyor, kalıcı bir makine kimliği oluşturabiliyor, giriş ayarları üzerinden kalıcılık sağlayabiliyor, her 180 saniyede bir yeni komut kontrolü yapabiliyor, eval() ile doğrudan JavaScript çalıştırabiliyor ve yürütülebilir yükleri indirip çalıştırabiliyor. Bu modüler tasarım, operatörün enfeksiyon zincirini yeniden inşa etmeden nihai yükü değiştirmesine olanak tanıyor.

PhantomEnigma kampanyası, bankalar ve kamu kurumları için ciddi bir uyarı niteliği taşıyor. Saldırganlar, güvenilir altyapıyı kullanarak tespit edilmeyi avantaja çeviriyor. Meşru bir devlet alan adı, doğrulanmış e-posta veya temiz dosya kararı, enfeksiyon zinciri aktif olsa bile şüpheyi azaltabiliyor. Güvenlik ekiplerinin, çalışanlara şüpheli resmi görünümlü mesajları güvenli bir şekilde bildirme yolları sunması ve bu mesajları ilk kararın ötesinde araştırması kritik önem taşıyor. Erken uyarı, kimlik bilgisi hırsızlığını, ek yük teslimatını ve daha geniş bir operasyonel olayı önleyebilir.

Nasıl Önlem Alınmalı?

Detaylı teknik analiz, altyapı bilgileri, göstergeler ve tespit yönergeleri için ANY.RUN'ın PhantomEnigma soruşturma raporunun tamamını okumanız önerilir. Bu kampanya, siber tehditlerin ne kadar karmaşık ve uyumlu hale geldiğini gösteriyor. Güvenlik ekiplerinin, yalnızca gelen kutusundaki şüpheli e-postalara değil, aynı zamanda güvenilir kaynaklardan gelen mesajlara da dikkat etmesi gerekiyor. PhantomEnigma, saldırganların güvenilir altyapıyı nasıl bir silaha dönüştürebileceğini çarpıcı bir şekilde ortaya koyuyor.

Kaynak: thehackernews.com

Paylaş: