Yapay Zeka Tarafından Üretilen Kötü Amaçlı Yazılım, Yeni Zırhlı Likho APT Kampanyasını Güçlendiriyor Yazılım

Yapay Zeka Tarafından Üretilen Kötü Amaçlı Yazılım, Yeni Zırhlı Likho APT Kampanyasını Güçlendiriyor

Yapay Zeka Tarafından Üretilen Kötü Amaçlı Yazılım, Yeni Zırhlı Likho APT Kampanyasını Güçlendiriyor...

Yapay Zeka Tarafından Üretilen Kötü Amaçlı Yazılım, Yeni Zırhlı Likho APT Kampanyasını Güçlendiriyor

Pierluigi Paganini 07 Temmuz 2026 07 Temmuz 2026

Armored Likho APT, Rusya, Kazakistan ve Brezilya'daki hükümetleri ve elektrik şebekelerini hedeflemek için yapay zeka tarafından oluşturulan kötü amaçlı yazılım, kimlik avı ve BusySnake Stealer'ı kullanıyor.

Detaylar ve Etkileri

Kaspersky'nin tehdit araştırma ekibi, Zırhlı Likho adını verdikleri, daha önce bilinmeyen ve yine Kartal Kurtadam adıyla takip edilen bir APT grubunu belgeledi. Grup iki paralel yol izliyor: özel kişilere yönelik mali amaçlı saldırılar ve Rusya, Kazakistan ve Brezilya'daki devlet kurumlarına ve elektrik enerjisi kuruluşlarına yönelik hedefli casusluk.

Kombinasyon alışılmadık. Çoğu grup bir şerit seçer.

Sistem Güvenliği

Araç seti modülerdir ve aktif olarak gelişmektedir. Armored Likho, BusySnake Stealer adında yeni belgelenmiş Python tabanlı bir bilgi hırsızı olan karartılmış RAT'ları ve uzaktan erişim ve ağ tünelleme için Go2Tunnel'ı kullanıyor.

"Araç kitleri, dinamik analizi atlatmak için özel olarak tasarlanmış karmaşık, modüler RAT'lar ve bilgi hırsızları içeriyor. Bunların yanı sıra, uzaktan erişim ve ağ tüneli oluşturma için Go2Tunnel gibi daha basit araçlardan yararlanıyorlar." Kaspersky'nin raporu belirtiliyor.

Sonuç ve Değerlendirme

"Bu çeşitli kötü amaçlı yazılım yığını, tehdit aktörünün ele geçirilen ana bilgisayarları gizlice kontrol etmesini, kimlik bilgilerini ve diğer hassas bilgileri sızdırmasını ve kurbanın profiline ve eldeki görevlere göre uyarlanmış indirilebilir modülleri dinamik olarak dağıtmasını sağlar."

Saldırı zinciri hedef odaklı kimlik avı mesajlarıyla başlar. Yem temaları resmi hükümet bildirimlerinden insani yardım uygulamalarına ve psikolojik testlere kadar uzanmaktadır. Ekli arşivler, e-postanın anlattığı hikayeyle eşleşen adlara sahip yürütülebilir dosyalar veya LNK kısayol dosyalarını taşır.

Yürütülebilir varyant, NSIS ile oluşturulmuş, kendi kendine açılan bir arşivdir. Bellekte çalışan meşru bir sürece bir yükleyici enjekte ederken sahte bir psikolojik anket açar. Bu yükleyici, Kaspersky'nin altyapı analizi sırasında bulduğu kötü amaçlı yazılımın erken geliştirme yapıları da dahil olmak üzere GitHub depolarındaki arşivleri indiriyor. İndirildikten sonra her şey, sonraki tüm aşamalar için kötü amaçlı yazılımın çalışma dizini haline gelen %appdata%\WindowsHelper dizinine çıkarılır.

Uzmanların Görüşleri

LNK varyantı, saldırganların komut alanındaki boşlukları veya satır sonlarını kullanarak yürütme parametrelerini gizlemesine olanak tanıyan ZDI-CAN-25373 kısayol güvenlik açığını kötüye kullanıyor. Kurban sahte bir belge görüyor. Arka planda PowerShell yükleyiciyi getirir ve bu yükleyici daha sonra bir Python 3.12 yorumlayıcısını, bir pip yükleyici komut dosyasını ve BusySnake Stealer yükünü indirir. Her iki enfeksiyon yolu da aynı yere çıkıyor.

Yükleyici örneklerinde bir ayrıntı öne çıkıyor: kaynak kodu ayrıntılı yorumlar ve madde işaretli emojiler içeriyor. Bu kodlama stilinin insan tarafından yazılan kötü amaçlı yazılımlarda emsali yoktur.

"Yükleyicinin kaynak kodu ayrıntılı yorumlar ve madde işaretli emojiler içeriyor. Bu kodlama stili, insan tarafından geliştirilen kötü amaçlı yazılımlara son derece aykırıdır. Bu, grubun kötü amaçlı yüklerini oluşturmak için LLM'lerden yararlandığını güçlü bir şekilde gösteriyor." rapora devam ediyor. "Sonuçta, her iki enfeksiyon vektörü de aşağıda ayrıntılı olarak açıkladığımız birincil yükün yürütülmesine yol açıyor."

Önemli Gelişmeler

Birinci aşama yükleyiciler oluşturmak için yapay zekanın kullanılması, grubun TTP'lerini hızlı bir şekilde değiştirmesine olanak tanır ve ilişkilendirmeyi karmaşıklaştırır. Bu aynı zamanda her yeni kampanyanın önemli bir geliştirme çabası gerektirmeden yapısal olarak bir öncekinden farklı görünebileceği anlamına da gelir.

BusySnake Stealer, PyArmor Pro 9.2.0 ile korunan Python tabanlı bir bilgi hırsızıdır. Bayt kodunun şifresini yalnızca bir işlev çağrıldığı anda çözer, hemen ardından yeniden şifreler ve .pyw uzantısıyla gösterilen konsol penceresi olmadan sessizce çalışır. Kaspersky koruyucuyu başarılı bir şekilde çıkardı ve temel işlevleri analiz etti.

Teknik Analiz

Hırsız, yürütme anından itibaren bir dizi kalıcı arka plan görevini çalıştırır. Panoyu sonsuz bir döngüde izleyerek, zaman damgalarıyla birlikte bir keylog dosyasına yeni içerik ekler. Dosya yolları, boyutları ve değişiklik süreleri dahil olmak üzere dosya sisteminin yerel bir SQLite veritabanını oluşturur. Bu tarama sırasında, özellikle birçok kripto para birimi özel anahtarı ve API sırrı tarafından kullanılan format olan 64 karakterlik onaltılık dizeleri arar ve tüm eşleşmeleri C2 sunucusuna iletir. Masaüstü, indirilenler ve belgeler klasörlerindeki belgeler, daha önce gönderilmemişse ve boyutları 5 MB'ın altındaysa otomatik olarak iletilir.

Kalıcılık, bir VBScript başlatıcısı ve her beş dakikada bir tetiklenen zamanlanmış bir görev aracılığıyla çalışır. Tek örnek kilidi birden fazla kopyayı önler muteks yerine standart olmayan bir kilit dosyası mekanizması kullanarak aynı anda çalışmasını önler, bu da standart işlem numaralandırma yoluyla tespit edilmesini zorlaştırır.

poll_task işlevi, talimatları bekleyen C2 sunucusuna açık bir bağlantı sağlar. Komut seti çok fazla alanı kapsıyor. Chromium tabanlı tarayıcı şifrelerinin şifresi, tarayıcı ana anahtarını kurtarmak için Windows DPAPI kullanılarak çözülür ve ardından SQL sorgusu yoluyla oturum açma veritabanından çıkarılır. Firefox şifreleri ayrı olarak ele alınır: Hırsız, Firefox'un key4.db şifreleme veritabanına otomatik olarak erişen kendi NSS kitaplığını yükler ve herhangi bir kullanıcı etkileşimi olmadan kimlik bilgilerini kurtarmak için PK11SDR_Decrypt'i çağırır ve Firefox'un, ana şifre belirlenmediğinde saklanan şifrelerin şifresini çözmek için yeniden kimlik doğrulamaya ihtiyaç duymaması gerçeğinden yararlanır.

Çerez ayıklama, tarayıcının çerez veritabanlarına karşı SQL sorguları kullanılarak aynı modeli izler. GitHub sürüm sayfasından alınan ikincil bir modül, çerezleri doğrudan çalışan bir tarayıcı oturumundan yakalamak için yerel bir web sunucusunu çalıştıran bir tarayıcı uzantısı yükler. Diğer komutlar, otpauth:// strings için panoyu izleyerek OTP anahtar kazımayı, kripto para birimi cüzdan dosyası keşfini, Telegram oturum toplamayı (Telegram işlemini zorla sonlandırır, oturum verilerini %appdata%\Telegram Desktop\tdata'dan arşivler ve sıkıştırılmış arşivi dışarı çıkarır) ve uzak masaüstü uygulamasını yeniden başlatarak ve görüntülenen kimlik bilgilerinin ekran görüntüsünü alarak RustDesk kimlik bilgileri yakalamayı kapsar.

Nasıl Önlem Alınmalı?

Daha önce bağımsız Go2Tunnel aracı tarafından gerçekleştirilen ters SSH tünelleme işlevi artık doğrudan BusySnake Stealer'da yerleşiktir. Kötü amaçlı yazılım, grked[.]online'dan tünel parametreleri talep ediyor, C2'den bir SSH özel anahtarı ve komut dizisi alıyor ve operatörlere güvenliği ihlal edilmiş ana bilgisayara etkileşimli erişim sağlayan kalıcı bir ters tünel oluşturuyor.

Kaspersky ayrıca altyapı analizi sırasında BusySnake Stealer'ın daha yeni bir sürümünü de buldu. Zamanlanmış görev oluşturma işlemi artık schtasks'ı doğrudan çağırmıyor, bunun yerine win32com.client kitaplığı aracılığıyla Windows COM nesnesi Schedule.Service'i kullanıyor. COM tabanlı görev oluşturmanın, doğrudan schtasks sürecinin yürütülmesini izleyen davranışsal kurallar aracılığıyla tespit edilmesi daha zordur. Yeni sürüm aynı zamanda standart bir sanal alandan kaçınma tekniği olan kötü amaçlı rutinleri tetiklemeden önce kasıtlı bir gecikme de ekliyor.

Gelecekte Ne Bekleniyor?

"Ayrıca BusySnake Stealer'ın mimari tasarımında da iyileştirmeler gözlemledik. Saldırganlar, gelen C2 komutlarını işlemek için yeni bir görev yönetimi çerçevesi oluşturdu. Her göreve benzersiz bir tanımlayıcı atanır ve yürütmeden önce hırsız, bu görevin belirli bir listede bulunup bulunmadığını kontrol eder." rapora devam ediyor. "Yürütme durumlarını gerçek zamanlı olarak izlemek için görevlere dinamik olarak dört operasyonel durumdan biri atanır: SCHEDULED, IN_PROGRESS, SUCCEEDED veya FAILED."

Kaspersky bu kampanyayı orta düzeyde bir güvenle Armored Likho'ya bağlıyor. Grup daha önce AquilaRAT'ı temel araç olarak kullanıyordu ve BusySnake Stealer ile yapısal örtüşmeler spesifikti. Her iki kötü amaçlı yazılım ailesi de görevleri C2 sunucusundan alır ve bunları özel işlevler aracılığıyla gerçekleştirir. Her ikisi de görev yürütme durumunu sunucuya raporlamak için benzer uç nokta formatlarını kullanır. Her ikisi de meşru Microsoft yardımcı programlarını taklit eden zamanlanmış görevler aracılığıyla kalıcılık sağlar: AquilaRAT, MicrosoftOfficeUpdate adını kullanır, BusySnake Stealer ise WindowsHelper adını kullanır.

Ters tünel bağlantısı da aynı derecede spesifiktir. Go2Tunnel ve BusySnake Stealer, C2 sunucusundan tünel oluşturma komutlarını ve SSH özel anahtarlarını alır, benzer uç noktalara istekte bulunur ve aynı argüman kümesiyle SSH komutlarını kullanarak tünellerini başlatır. Raporun belirttiği gibi:

"Zırhlı Likho'nun son birkaç aydaki kampanyalarının analizi, gereksiz yorumlar ve kod bloklarının da gösterdiği gibi, birinci aşama yükleri oluşturmak için yapay zeka araçlarını kullanma yönünde bir eğilim gösteriyor. Bu, grubun mevcut saldırı vektörlerini genişletmesine olanak tanıyor." raporu sonuçlandırıyor. "Bu yazının yazıldığı sırada Armored Likho oldukça aktif durumdaydı. Kötü amaçlı yazılım çeşitlerinin evrimine ve TTP'lerini gizleme çabalarına rağmen, grubun ayak izini yakından izlemeye ve ortaya çıkan kampanyaları tespit etmeye devam ediyoruz."

Teyit edilen mağdurlar Rusya, Kazakistan ve Brezilya'yı kapsıyor ve hükümet ve elektrik enerjisi altyapısına odaklanıyor. Kampanya yayınlandığı tarihte aktif kalır. Kaspersky'nin algılama ürünleri, LNK indiricisini çalıştırma yoluyla çalıştırıldığı noktada işaretler dll32.exe , PowerShell zinciri ikinci aşama yükünü almadan önce. C2 altyapısı 159.198.41.140'a çözümlenir, tünelleme 159.198.32[.]222 üzerinden yönlendirilir ve etki alanı grked[.]çevrimiçi olarak tünel yapılandırma isteklerini yönetir.

Beni Twitter'da takip edin: @securityaffairs ve Facebook ve Mastodon

(SecurityAffairs – hackleme, Zırhlı Likho APT)

Paylaş: