Hindistan Vergi Dolandırıcılığı: Sahte İnternet Siteleriyle DcRAT ve Gh0st RAT Bulaştırılıyor Dünya Geneli

Hindistan Vergi Dolandırıcılığı: Sahte İnternet Siteleriyle DcRAT ve Gh0st RAT Bulaştırılıyor

Çin bağlantılı tehdit aktörleri, Hindistan vergi dairesini taklit eden sahte sitelerle DcRAT ve Gh0st RAT bulaştırıyor. Vergi mükellefleri ve şirketle

Siber güvenlik araştırmacıları, Hindistan vergi mükelleflerini, vergi profesyonellerini ve kurumsal finans ekiplerini hedef alan karmaşık bir siber saldırı kampanyasını gün yüzüne çıkardı. Seqrite Labs tarafından 'Operation DragonReturn' adı verilen bu çok aşamalı kampanya, sahte e-postalar ve web siteleri aracılığıyla DcRAT ve Gh0st RAT gibi tehlikeli uzaktan erişim truva atlarını (RAT) yayıyor. Saldırıların, Hindistan'ın yıllık gelir vergisi beyan dönemiyle eş zamanlı olarak 18 Mayıs 2026'da başladığı tespit edildi.

Seqrite Labs araştırmacıları Dixit Panchal ve Soumen Burma, kampanyanın fırsatçı olmadığını, aksine özenle hazırlanmış yem belgeler, gerçek yasal atıflar, iki dilli içerik ve aktif yük döndürme gibi unsurların kasıtlı, kaynaklı ve sürdürülebilir bir tehdit operasyonuna işaret ettiğini belirtti. Saldırının nihai hedefinin, maddi kazanç veya hassas veri hırsızlığı için kötü amaçlı yazılım yüklemek olduğu değerlendiriliyor.

Saldırı zinciri, Hindistan Gelir Vergisi Dairesi'ni taklit eden kimlik avı e-postalarıyla başlıyor. E-postalarda vergi ihlalleri ve cezaları konu edilerek aciliyet hissi yaratılıyor ve kullanıcıların PDF eklerindeki kötü amaçlı bağlantıya ('govtop[.]one/incometax') tıklaması sağlanıyor. Sahte açılış sayfası, kullanıcılardan vergi beyannamesi vermek için kullanılan resmi bir çevrimdışı yardımcı program görünümünde bir ZIP arşivi indirmelerini istiyor. Ancak bu arşiv, aslında kötü amaçlı bir DLL dosyasını ('nvdaHelperRemote.dll') yan yüklemek üzere tasarlanmış.

Nasıl Önlem Alınmalı?

Yüklenen DLL, belleğe başka bir yük enjekte ediyor. Bu yük, yönetici ayrıcalıklarıyla çalıştığından emin olmak için Kullanıcı Hesabı Denetimi (UAC) istemi gösteriyor. Ardından analiz ve korumalı alan ortamlarından kaçınmak için kontroller yapıyor ve sabit kodlanmış bir sunucudan ('204.194.48[.]250') bir JPG resmi ('lllyd.jpg') indirerek 'C:\Windows\background.jpg' olarak kaydediyor. Bu resim dosyası, ikincil bir yük için bir kap görevi görüyor ve içinden 504 KB'lık bir DLL çıkarılarak 'C:\Program Files\Windows Media Player\vdaHelperRemote.dll' yoluna yazılıyor.

Gelecekte Ne Bekleniyor?

Seqrite Labs, kötü amaçlı yazılımın kendini 'Mixed Reality.exe' olarak kopyaladığını ve 'MixedSvc' adında, sistem başlangıcında otomatik olarak başlayacak şekilde yapılandırılmış bir Windows hizmeti oluşturarak kalıcılık sağladığını açıkladı. 'Mixed Reality.exe', iki farklı yük dağıtmaktan sorumlu: İlki, anti-analiz kontrolleri yapan, kalıcılık sağlayan, Windows AMSI taramasını devre dışı bırakan ve DcRAT'ı şifresini çözerek yükleyen bir .NET kötü amaçlı yazılım yükleyicisi. İkinci yük ise ekran görüntüsü alma ve verileri uzak bir sunucuya ('kkxqbh[.]top') sızdırma yeteneklerine sahip.

Detaylar ve Etkileri

Saldırının arkasındaki tehdit aktörünün kimliği tam olarak bilinmemekle birlikte, altyapı analizi ChinaNet'e ait IP adreslerinin ve DcRAT komuta ve kontrol (C2) sunucusu ('223.26.63[.]40') tarafından açığa çıkarılan Çince bir web yönetim panelinin kullanıldığını gösteriyor. Seqrite, ayrıca Silver Fox adlı, daha önce ValleyRAT dağıtan vergi temalı kimlik avı kampanyalarıyla ilişkilendirilen Çinli bir siber suç grubuyla altyapı ve taktiksel örtüşmeler tespit etti. Bu benzerlikler, kampanyanın istihbarat toplama, kimlik bilgisi hırsızlığı ve sistematik veri sızdırma amacıyla gizli erişim sağlamaya çalışan Çin yanlısı bir tehdit aktörünün işi olduğunu düşündürüyor.

LevelBlue, Çince ve Japonca konuşan kullanıcıları hedef alan, LINE için sahte yükleyiciler ve maaş ayarlaması yemleri içeren kimlik avı e-postaları kullanarak ValleyRAT dağıtan iki farklı kampanya tespit etti. E-posta tabanlı kampanyada, alıcı bir URL'ye tıkladığında bir ZIP arşivi indiriliyor ve bu arşiv, DLL yan yükleme zinciri için temel oluşturuyor. Cybereason, sahte yükleyici saldırı zincirinde PoolParty Variant 7 gibi teknikler kullanıldığını ve anti-analiz ile tespitten kaçınmaya odaklanıldığını belirtti.

Teknik Analiz

Cyderes tarafından yayınlanan bir analizde, Hindistan kullanıcılarını hedef alan aynı saldırı zincirinin, Gh0st RAT türevi ve AsyncRAT ailesine ait bir RAT olmak üzere iki yük dağıttığı ortaya kondu. DcRAT'ın, AsyncRAT'tan türeyen bir varyant olduğu ve AsyncRAT'ın da açık kaynaklı Quasar RAT'tan geldiği düşünüldüğünde, bu kampanya siber suçluların sürekli evrim geçirdiğini gösteriyor. Kullanıcıların, resmi olmayan kaynaklardan gelen e-posta eklerine ve bağlantılara karşı dikkatli olmaları, vergi dairesi gibi kurumları doğrudan arayarak veya resmi web sitelerinden doğrulama yapmaları öneriliyor.

Kaynak: thehackernews.com

Paylaş: