Hindistan Vergi Mükelleflerini Hedef Alan DcRAT Saldırısı: Çin Bağlantılı Tehdit Aktörleri İş Başında Siber Güvenlik

Hindistan Vergi Mükelleflerini Hedef Alan DcRAT Saldırısı: Çin Bağlantılı Tehdit Aktörleri İş Başında

Çin bağlantılı tehdit aktörleri, Hindistan vergi dairesi taklidi yaparak sahte bir vergi beyan aracı üzerinden DcRAT truva atını yayıyor.

Hindistanlı vergi mükellefleri, vergi profesyonelleri ve kurumsal finans ekipleri, Çin bağlantılı olduğu düşünülen bir tehdit kümesinin hedefi haline geldi. Seqrite Labs tarafından Operation DragonReturn olarak adlandırılan çok aşamalı kampanya, Hindistan Gelir İdaresi'ni taklit eden oltalama e-postaları ile başlıyor. İlk olarak 18 Mayıs 2026'da tespit edilen saldırı, ülkedeki yıllık vergi beyan dönemine denk geliyor. Araştırmacılar, saldırının fırsatçı olmadığını, gerçek yasal atıflar, iki dilli içerik ve aktif yük rotasyonu gibi unsurların kasıtlı ve kaynaklı bir operasyon olduğunu vurguluyor.

Saldırı zinciri, vergi ihlalleri ve ceza temalı oltalama e-postaları ile başlıyor. Kullanıcılar, PDF eklerindeki kötü amaçlı bağlantıya ('govtop[.]one/incometax') tıklamaya yönlendiriliyor. Sahte açılış sayfası, kullanıcılardan bir ZIP arşivi indirmelerini istiyor. Bu arşiv, Gelir İdaresi'nin vergi beyanı için kullandığı yaygın bir çevrimdışı araç gibi görünse de aslında kötü amaçlı bir DLL dosyasını ('nvdaHelperRemote.dll') yan yüklüyor. Bu DLL, belleğe başka bir yük enjekte ediyor. Yük, yönetici ayrıcalıkları ile çalıştığından emin oluyor ve gerekirse Kullanıcı Hesabı Denetimi (UAC) istemi ile yükseltilmiş izin istiyor.

Analiz ortamlarından kaçınmak için kontroller yapan yük, ardından sabit kodlanmış bir sunucudan ('204.194.48[.]250') bir JPG resmi ('lllyd.jpg') indiriyor ve 'C:\Windows\background.jpg' olarak kaydediyor. Seqrite Labs'a göre bu resim, ikincil bir yük için bir konteyner görevi görüyor. İçinden 504 KB boyutunda bir DLL çıkarılıyor ve 'C:\Program Files\Windows Media Player\nvdaHelperRemote.dll' yoluna yazılıyor. Yükü çıkardıktan sonra kötü amaçlı yazılım, kendini 'Mixed Reality.exe' olarak kopyalıyor ve sistem başlangıcında otomatik çalışacak şekilde MixedSvc adlı bir Windows hizmeti oluşturarak kalıcılık sağlıyor. Bu davranış, örneğin bir indirici ve yükleyici olarak çalıştığını, görüntü tabanlı yük gizleme ve Windows hizmeti kalıcılığı kullandığını gösteriyor.

'Mixed Reality.exe' ikili dosyası iki farklı yük dağıtıyor: biri .NET tabanlı bir kötü amaçlı yazılım yükleyicisi, diğeri ise ekran görüntüsü alma ve veri sızdırma yeteneklerine sahip. .NET yükleyici, anti-analiz kontrolleri yapıyor, kalıcılık sağlıyor, Windows AMSI taramasını devre dışı bırakıyor ve DcRAT'ı şifresini çözüp yüklüyor. DcRAT, saldırganlara enfekte sistem üzerinde tam kontrol sağlayan bir uzaktan erişim truva atı. Altyapı analizi, ÇinNet'e ait IP adresleri ve DcRAT komuta kontrol sunucusunda ('223.26.63[.]40') Çince bir web yönetim paneli olduğunu ortaya koydu. Seqrite, ayrıca Silver Fox adlı Çin siber suç grubuyla altyapı ve taktik örtüşmeleri tespit etti. Bu benzerlikler, kampanyanın Çin bağlantılı bir tehdit aktörü tarafından istihbarat toplama, kimlik bilgisi hırsızlığı ve sistematik veri sızdırma amacıyla yürütüldüğünü gösteriyor.

Paylaş: