GoldenEyeDog Alt Grubu CylindricalCanine, DigiCert İhlali ve Kod İmza Sertifikası Hırsızlığıyla Bağlantılı Yazılım

GoldenEyeDog Alt Grubu CylindricalCanine, DigiCert İhlali ve Kod İmza Sertifikası Hırsızlığıyla Bağlantılı

GoldenEyeDog'un alt grubu CylindricalCanine, DigiCert'te Nisan 2026'da gerçekleşen ihlalde kod imza sertifikalarını çalarak kendi kötü amaçlı yazılıml

Siber güvenlik araştırmacıları, Nisan 2026'da yaşanan DigiCert güvenlik olayını CylindricalCanine olarak adlandırılan bir tehdit faaliyeti kümesine bağladı. Expel, olayın teknik detaylarını paylaşarak tehdit aktörünü, GoldenEyeDog (APT-Q-27, Dragon Breath ve Miuuti Group olarak da bilinir) adlı Çinli siber suç grubunun bir alt grubu olarak tanımladı. GoldenEyeDog, en az 2015'ten beri aktif olup kumar ve oyun sektörlerini hedef alarak sahte web siteleri aracılığıyla kötü amaçlı yazılım bulaştırmış yazılımlar dağıtmasıyla biliniyor.

Expel güvenlik araştırmacısı Aaron Walton, analizinde 'Nisan 2026'da GoldenEyeDog, kod imza sertifikası sağlayıcısı DigiCert'te bir destek çalışanının cihazına kötü amaçlı yazılımla erişti ve bu erişimi kullanarak DigiCert müşterilerine yönelik sertifikaları çaldı. Bu saldırı, kötü amaçlı yazılımın ve operatörlerin yeteneklerini gözler önüne serdi' dedi. Tehdit aktörünün operasyonlarının merkezinde, Çinli bilgisayar korsanlığı grupları tarafından yaygın olarak kullanılan bir uzaktan erişim truva atı (RAT) olan Gh0st RAT'in (Farfli olarak da bilinir) değiştirilmiş bir sürümü yer alıyor.

Golden Gh0st RAT olarak adlandırılan bu modüler kötü amaçlı yazılım, Golden Gh0st Loader aracılığıyla dağıtılıyor. Kasım 2025'te Elastic Security Labs tarafından yayınlanan bir raporda, tehdit aktörünün RONINGLOADER kod adlı çok aşamalı bir yükleyici kullanarak, Google Chrome ve Microsoft Teams gibi meşru programlar gibi görünen NSIS yükleyicileri aracılığıyla bir Gh0st RAT varyantı dağıttığı detaylandırıldı. Bu yılın başlarında, aynı gruba bağlı başka bir kampanyada, Web3 şirketlerinde çalışan müşteri destek personeline yönelik çok aşamalı bir saldırı düzenlendiği ve müşteri destek sohbeti üzerinden gönderilen şüpheli bağlantılar yoluyla Gh0st RAT bulaştırıldığı gözlemlendi.

Expel, 'Bu aktörler, Asya-Pasifik bölgesindeki finans kuruluşlarını hedef almak da dahil olmak üzere diğer Çinli siber suç faaliyetleriyle tutarlı bir şekilde kötü amaçlı yazılım kullanıyor ve hedef seçiyor' dedi. Golden Gh0st RAT, davranışsal ve taktiksel olarak Çinli güvenlik satıcısı QiAnXin tarafından 2020'de tespit edilen ve 2019'dan beri kumar endüstrisine yönelik bir saldırı kampanyasıyla bağlantılı bir yük ile örtüşüyor. Ayrıca ANY.RUN tarafından Şubat 2025'te Zhong Stealer olarak belgelenen bir kötü amaçlı yazılımla da benzerlik gösteriyor.

Teknik Analiz

CylindricalCanine, kod imza sertifikalarını kötüye kullanarak DigiCert'e yetkisiz erişim sağladı, DigiCert müşterilerine yönelik kod imza sertifikalarını ele geçirdi ve bunları kendi kötü amaçlı yazılımlarını imzalamak için kullanarak tespit edilmekten kaçındı. Nisan 2026'da sertifika yetkilisi (CA), iki destek analistinin iş istasyonlarına müşteri sohbet kanalı üzerinden iletilen kötü amaçlı bir yük çalıştırılarak erişilmesinin ardından dahili destek portalından hileli bir şekilde elde edilen sertifikaları iptal ettiğini açıkladı.

Önemli Gelişmeler

DigiCert, '2026-04-02 tarihinde, bir tehdit aktörü müşteri sohbet kanalı aracılığıyla DigiCert'in destek ekibiyle iletişime geçti ve müşteri ekran görüntüsü gibi görünen bir ZIP dosyası gönderdi. Dosya, kötü amaçlı yük içeren bir .scr yürütülebilir dosyası içeriyordu' dedi. Tehdit aktörü, müşteri-destek portalındaki sınırlı bir işlevi kullanarak, doğrulanmış DigiCert destek analistlerinin destek görevlerini kolaylaştırmak için müşteri hesaplarına müşteri perspektifinden erişmesine izin veren bir özellikten yararlandı. Bu işlev sayesinde, onaylanmış ancak teslimatı bekleyen EV Kod İmza sertifika siparişleri için başlatma kodlarına erişmeyi başardı.

Ölümcül gözden kaçırma noktası, bir başlatma koduna sahip olmanın onaylanmış bir siparişle birlikte belirli bir müşteri hesap ve CA kümesinde EV Kod İmza sertifikalarını almak için işlevsel olarak yeterli olmasıydı. Şirket, DigiCert Trusted G4 Code Signing RSA4096 SHA256 2021 CA1, DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1, GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1 ve Verokey High Assurance Secure Code EV olmak üzere dört CA tarafından verilen 60 sertifikayı iptal etti. Bunlardan 27'sinin doğrudan tehdit aktörüyle bağlantılı olduğu ve istismar edilen sertifikaların Zhong Stealer kötü amaçlı yazılım yapıtlarını imzalamak için kullanıldığı belirtildi.

Nasıl Önlem Alınmalı?

Expel'e göre CylindricalCanine'in birincil taktiği, kimlik avı e-postalarında ekran görüntüsü gibi görünen dosyalar dağıtmaktır. Dosyalar, mesajlara gömülü bağlantılar şeklinde yer alır ve tıklandığında harici bir sunucudan ek yükler indirir. Saldırının nihai hedefi, meşru bir yürütülebilir dosyayı kullanarak hileli bir DLL çalıştıran bir DLL yandan yükleme zincirini tetiklemek ve aynı anda bir HTTP 503 'Hizmet Kullanılamıyor' hatası görüntüleyen bir yem PDF belgesi göstermektir. DLL daha sonra şifrelenmiş bir yük olan 'update.log' dosyasını yükler. Son aşama, kalıcılık kurma, hassas verileri çalma, SOCKS proxy tüneli başlatma, ekran çıktısını bastırma, tuş vuruşlarını kaydetme, ekran görüntüsü alma, süreçleri listeleme, shell komutları çalıştırma, ek yükler bırakma ve Windows Olay günlüklerini temizleme gibi çok çeşitli yeteneklere sahip Golden Gh0st RAT'tir. Bu kötü amaçlı yazılımın hedef aldığı uygulamalar arasında Skype, Google Chrome, Mozilla Firefox, 360 Secure Browser, 360 Speed Browser ve Tencent QQ Browser bulunuyor.

Kaynak: thehackernews.com

Paylaş: