GoSerpent Casusluk Yazılımı Güneydoğu Asya'daki Devlet ve Diplomatları Hedef Alıyor Linux

GoSerpent Casusluk Yazılımı Güneydoğu Asya'daki Devlet ve Diplomatları Hedef Alıyor

Kaspersky araştırmacıları, Güneydoğu Asya'daki hükümet ve diplomatik kurumları hedef alan GoSerpent adlı yeni bir casusluk yazılımını ortaya çıkardı.

Siber güvenlik araştırmacıları, 2025'in sonlarından bu yana Güneydoğu Asya'daki kurumları hedef alan siber saldırılarda kullanılan, daha önce belgelenmemiş bir kötü amaçlı yazılım olan GoSerpent'i keşfetti. Rus siber güvenlik şirketi Kaspersky, Şubat 2026'da tespit edilen bu faaliyetin bölgedeki hükümet ve diplomatik kurumları hedef aldığını belirtti. GoSerpent, harici bir sunucuya bağlanarak hassas veri toplama ve sistemden kimlik bilgileri çalma amaçlı ikincil yükler dağıtmak üzere tasarlanmış bir arka kapıdır.

Araştırmacı Noushin Shabab, tehdit aktörünün Mayıs 2026'da geliştirilmiş bir araç setiyle geri döndüğünü söyledi. Bu araçlar arasında Stowaway RAT ve proxy aracı gibi ilk kötü amaçlı yazılıma benzeyen yeni sürümler ile aylar boyunca toplanan hassas verileri ağ paylaşımları yoluyla sızdırmak için kullanılan ek bir gizli araç bulunuyor. Saldırıların nihai hedefi, hassas dosyaları toplamak ve ThumbcacheService adlı bir veri toplama aracı kullanarak sızdırmaya hazırlamak.

Go-based bir implant ve uzaktan erişim truva atı (RAT) olan GoSerpent'in ilk sürümleri 2021'den beri Güneydoğu Asya'daki kurbanları hedef alırken, en son varyantları bu yıl içinde kullanıldı. Kötü amaçlı yazılım, komuta ve kontrol (C2) adresi ile iletişim şifresini içeren şifrelenmiş ve Base64 kodlu komut satırı argümanlarını alarak çalışıyor. Şifre çözme işleminin ardından arka kapı, C2 sunucusuna şifreli bir bağlantı kuruyor ve iletişim şifresinin SHA256 hash'i şifreleme anahtarı olarak kullanılıyor.

Desteklenen komutlar arasında etkin bir enfeksiyonu bildirme, belirli bir portta dinleme başlatma, portu kapatma, uzak sunucuya bağlanma, kabuk başlatma, dosya veya dizin yükleme/indirme, SOCKS5 proxy başlatma ve bağlı bir düğüme yönlendirme yer alıyor. Kaspersky, GoSerpent'in tehlikeye atılmış ana bilgisayarlar üzerinden trafiği yönlendirmek için SOCKS5 proxy sunucuları kurabildiğini, böylece saldırganların gerçek IP adreslerini gizleyerek diğer ağlara erişebildiğini açıkladı. Ayrıca, ThumbcacheService dosya toplama, Mimikatz kimlik bilgisi çalma ve QuarksDumpLocalHash yerel hesap şifre hash'lerini çıkarma gibi ek araçlar da dağıtılıyor.

Saldırılarda kullanılan diğer araçlar arasında McMx RAT (GoSerpent'in hafif bir sürümü, SOCKS5 proxy, port yönlendirme, dosya transferi ve uzak kabuk özelliklerine sahip), ThumbcacheService (dosya toplama mekanizması), Mimikatz (LSASS bellek dökümü) ve QuarksDumpLocalHash (SAM kayıt defteri kovanından hash çıkarma) bulunuyor. Aylarca süren gizli veri toplamanın ardından tehdit aktörü, Mayıs 2026'da Stowaway (proxy ve uzak erişim aracı), TmcLoader (C++ yükleyici, TmcPayload içerir) ve TmcPayload (hedef makineden depolanan hassas verileri sızdırır) araçlarını kullanmak üzere geri döndü.

Sistem Güvenliği

Kaspersky, bu tehdidi özellikle endişe verici kılan şeyin, çeşitli araçların stratejik dağıtımı ve sofistike veri toplama ile sızdırma yetenekleri olduğunu belirtti. ThumbcacheService'den TmcLoader/TmcPayload'e kadar olan zincir, ileri düzey operasyonel planlamayı gösteriyor. Kesin bir atıf yapılamasa da güvenlik şirketi, kampanyanın TetrisPhantom ile hedefleme, teknik yetenekler ve operasyonel benzerlikler taşıdığını söyledi. TetrisPhantom, Ekim 2023'te Asya-Pasifik bölgesindeki hükümet kurumlarını hedef alan 'yüksek becerili ve kaynaklı bir tehdit aktörü' olarak belgelenmişti.

TetrisPhantom kampanyası, donanım şifrelemeli güvenli USB sürücüleri kullanarak APAC hükümetlerini hedef almış, çeşitli kötü amaçlı modüller aracılığıyla cihaz üzerinde geniş kontrol sağlayarak komut çalıştırma, dosya toplama ve bunları aynı veya farklı USB sürücüleriyle diğer makinelere aktarma imkanı vermişti. Ayrıca, DoNot Team'in Bangladeş ordusu ve savunma kurumlarını hedef alan, RTF belgesi ve VBA makro içeren oltalama e-postaları kullandığı bir siber casusluk operasyonu da ortaya çıkarıldı. Bu saldırıda, OneDrive telemetrisi gibi görünen zamanlanmış görev kalıcılığı kuran bir DLL implantı kullanılıyor.

Kaynak: thehackernews.com

Paylaş: