Siber güvenlik araştırmacıları, daha önce bilinmeyen GoSerpent adlı bir kötü amaçlı yazılımı keşfetti. Bu yazılım, 2025 yılının sonlarından itibaren Güneydoğu Asya'daki kuruluşları hedef alan siber saldırılarda kullanılıyor ve uzun süreli erişim ile istihbarat toplamaya odaklanıyor. Rus siber güvenlik şirketi Kaspersky, Şubat 2026'da bu faaliyeti ortaya çıkardı ve saldırıların bölgedeki hükümet ve diplomatik kuruluşları hedef aldığını belirtti. GoSerpent, harici bir sunucuya bağlanarak hassas veri toplama ve sistemde kimlik bilgisi dökümü gibi ikincil yükleri devreye sokmak üzere tasarlanmış.
Kaspersky güvenlik araştırmacısı Noushin Shabab, 'Bu tehdit aktörünün faaliyetlerini izlediğimizde, Mayıs 2026'da gelişmiş bir kötü amaçlı araç setiyle geri döndüklerini gördük: yeni Stowaway RAT ve ilk kötü amaçlı yazılıma benzeyen bir proxy aracının yanı sıra, önceki birkaç ay boyunca ağ paylaşımları aracılığıyla toplanan hassas verileri sızdırmak için ek bir gizli araç' dedi. Bu çabaların nihai amacı, hassas dosyaları toplamak ve ThumbcacheService adlı bir veri toplama aracı kullanarak bunları daha sonra sızdırılmak üzere hazırlamak. Saldırılarda ayrıca, ağ paylaşımlı sürücüler üzerinden veri sızdırmayı kolaylaştırmak için gerekli sistem kimlik bilgilerini ele geçirmek amacıyla GoSerpent aracılığıyla kimlik bilgisi dökümü araçları da kullanılmış.
Go tabanlı implant ve uzaktan erişim truva atının (RAT) önceki sürümleri, 2021'den bu yana Güneydoğu Asya'daki kurbanlara karşı kullanılıyor; bu yıl kadar yakın bir tarihte yeni varyantlar da dağıtılmış. Kötü amaçlı yazılım, komuta ve kontrol (C2) adresini ve iletişim parolasını içeren şifrelenmiş ve Base64 kodlu komut satırı argümanlarını alarak çalışıyor. Şifre çözme işleminin ardından, arka kapı şifreli bir bağlantı üzerinden C2 sunucusuna bağlanıyor; burada iletişim parolasının SHA256 hash'i şifreleme anahtarı olarak kullanılıyor.
Uzmanların Görüşleri
Desteklenen komutlar arasında şunlar yer alıyor: etkin bir enfeksiyonu sunucuya bildirmek, belirli bir portta dinlemeye başlamak, bir dinleme portunu kapatmak, uzak bir sunucuya bağlanmak, enfekte makinede bir kabuk başlatmak, sunucuya bir dosya veya dizin yüklemek, sunucudan indirme yapmak, enfekte makinede bir SOCKS5 proxy başlatmak ve bağlı bir düğüme yönlendirme yapmak. Kaspersky, 'GoSerpent, enfekte ana bilgisayarlar üzerinden trafiği yönlendirmek için SOCKS5 proxy sunucuları kurabilir, böylece saldırganlar gerçek IP adreslerini gizlerken diğer ağlara erişebilir. Arka kapı, dosya toplama için ThumbcacheService, kimlik bilgisi dökümü için Mimikatz ve yerel hesap parola hash'i çıkarma için QuarksDumpLocalHash dahil olmak üzere ek kötü amaçlı araçlar dağıtma yeteneğine sahiptir' diye açıkladı.
Saldırılarda kullanılan diğer araçlar şunları içeriyor: McMx RAT (GoSerpent'in hafif bir sürümü olan, SOCKS5 proxy, port yönlendirme, dosya transferi ve uzak kabuk yeteneklerine sahip Go tabanlı bir proxy ve uzaktan erişim aracı), ThumbcacheService (GoSerpent'i gelişmiş bir dosya toplama mekanizmasıyla destekleyen bir DLL), Mimikatz (LSASS sürecinden bellek dökümü alarak kimlik bilgilerini çıkarmak için) ve QuarksDumpLocalHash (SAM kayıt defteri kovanından yerel hesap parola hash'lerini çıkarmak için). Aylarca süren gizli veri toplamanın ardından, tehdit aktörlerinin Mayıs 2026'da tehlikeye atılmış ortama geri dönerek başka bir araç seti daha dağıttığı bildiriliyor: Stowaway (SOCKS5 proxy, port yönlendirme, ters tünelleme, uzak kabuk erişimi, dosya transferi ve SSH tabanlı tünelleme özelliklerine sahip bir proxy ve uzaktan erişim aracı), TmcLoader (TmcPayload adlı şifrelenmiş bir yük içeren C++ yükleyici modülü) ve TmcPayload (kurbanın makinesinden depolanan hassas verileri sızdırmak için).
Kaspersky, 'Bu tehdidi özellikle endişe verici kılan şey, gelişmiş veri toplama ve sızdırma yeteneklerine sahip çeşitli araçların stratejik olarak dağıtılmasıdır. ThumbcacheService'den TmcLoader/TmcPayload'e kadar olan zincir, sofistike operasyonel planlamayı göstermektedir' dedi. Kesin bir atıf belirsizliğini korurken, güvenlik şirketi kampanyanın hedefleme, teknik yetenekler ve operasyonel örtüşmeler açısından Ekim 2023'te Asya-Pasifik (APAC) bölgesindeki hükümet kuruluşlarını hedef aldığı belgelenen 'yüksek becerili ve kaynaklı bir tehdit aktörü' olan TetrisPhantom ile örtüştüğünü söyledi. Kaspersky daha önce, 'Saldırgan, bilgisayar sistemleri arasında güvenli depolama ve veri transferi sağlamak için donanım şifrelemesiyle korunan belirli bir tür güvenli USB sürücüsünü kullanarak APAC hükümet kuruluşlarından gizlice casusluk yaptı ve hassas veriler topladı. Kampanya, aktörün kurbanın cihazı üzerinde kapsamlı kontrol sahibi olmasını sağlayan çeşitli kötü amaçlı modüller içeriyor. Bu, komutları yürütmelerine, dosyaları ve bilgileri toplamalarına ve aynı veya farklı güvenli USB sürücülerini taşıyıcı olarak kullanarak diğer makinelere aktarmalarına olanak tanıyor' demişti.
Bu açıklamalar, Cyderes Howler Cell'in DoNot Team tarafından Bangladeş'in askeri ve savunma kuruluşlarını hedef alan bir siber casusluk operasyonunu detaylandırmasıyla aynı zamana denk geldi. Operasyonda, kötü amaçlı bir RTF belgesi içeren hedefli kimlik avı e-postaları kullanılarak OneDrive telemetrisi gibi gizlenmiş zamanlanmış görev kalıcılığı kuran, ana bilgisayarı profillendiren ve HTTPS üzerinden bir C2 sunucusuna sinyal gönderen bir DLL implantı bırakılıyor. RTF, bir VBA makrosu getirmek için uzak şablon enjeksiyonu kullanıyor.
Sistem Güvenliği
Sonuç olarak, GoSerpent ve ilişkili araçlar, Güneydoğu Asya'daki hükümet ve diplomatik hedeflere yönelik sürekli ve gelişen bir siber casusluk tehdidini temsil ediyor. Kuruluşların, bu tür gelişmiş kalıcı tehditlere karşı ağ segmentasyonu, güçlü kimlik doğrulama, düzenli güvenlik güncellemeleri ve kullanıcı farkındalık eğitimi gibi savunma önlemlerini güçlendirmeleri kritik önem taşıyor. Ayrıca, şüpheli ağ trafiğini ve uç nokta davranışlarını izlemek, bu tür gizli operasyonları erken aşamada tespit etmeye yardımcı olabilir.
Kaynak: thehackernews.com