Giriş ve Genel Bilgi
ESET araştırmacıları, son zamanlarda ortaya çıkan ve karmaşık saldırı teknikleri içeren yeni bir siber tehdit olan Spellbinder ve WizardNet’i detaylı bir şekilde analiz etti. Bu saldırılar, Çin merkezli yazılım güncellemelerini kötü niyetli hale getirerek, hedef alınan kurumların ve bireylerin sistemlerine sızmayı amaçlayan gelişmiş bir yöntem sunuyor.
Spellbinder’ın İşleyişi ve Teknolojisi
Spellbinder, saldırganların meşru Çin yazılımlarının güncelleme protokollerini kötü amaçlı sunuculara yönlendirmesine imkan tanıyan IPv6 durumsuz adres otomatik yapılandırma sahtekârlığı (SLAAC spoofing) teknikleriyle çalışıyor. Bu sahtekârlık, IPv6 ağlarında otomatik adres yapılandırmasını taklit ederek, ortadaki düşman saldırılarını (MITM) gerçekleştirmelerine olanak tanıyor. Bu sayede, saldırganlar trafiği yeniden yönlendirerek, meşru yazılım güncellemelerini manipüle edebiliyor.
Saldırının Detayları ve Kullandığı Araçlar
İlk olarak 2022 yılında keşfedilen Spellbinder, zaman içinde çeşitli güncellemelerle gelişmiş ve 2023 ile 2024 yıllarında yeni sürümleri tespit edilmiştir. Saldırganlar, bu aracı kullanarak hedef sistemlerdeki trafiği yakalayabilir ve kötü niyetli güncellemeleri meşru yazılım güncellemeleri gibi gösterecek şekilde yönlendirebilir. Ayrıca, saldırının sonunda yüklenen arka kapı olan WizardNet, uzaktan komutlar alarak sistemde tam kontrol sağlar ve sistem üzerinde çeşitli işlemler gerçekleştirebilir.
WizardNet ve Arka Kapı Analizi
WizardNet, özellikle .NET modüllerini uzak sunucudan alıp çalıştırabilen, modüler yapıya sahip bir arka kapıdır. 2024 yılında gerçekleştirilen araştırmalar, Tencent QQ uygulamasının güncellenmesi sırasında ele geçirilen örneklere odaklandı. Bu kötü amaçlı güncellemeler, halen aktif olan kötü niyetli sunucular tarafından yönetiliyor ve saldırganlara sistem üzerinde tam kontrol imkânı tanıyor. WizardNet, beş temel komut setini destekliyor ve bunlardan en az üçü, .NET modüllerini bellek içinde çalıştırmak ve sistem işlevselliğini genişletmek amacıyla kullanılıyor.
Bağlantılar ve Diğer Kötü Niyetli Yazılımlar
Bu saldırıların arkasında, Çinli Dianke Network Security Technology (UPSEC) şirketinin bağlantısı bulunan ve DarkNights veya DarkNimbus olarak da bilinen başka bir arka kapı ile ilişkili olduğu düşünülüyor. Uluslararası Güvenlik kuruluşları, NCSC UK’ye yaptığı açıklamalarda, bu kötü niyetli yazılımın özellikle Tibet ve Uygur topluluklarına yönelik hedefler içerdiğini belirtti. Ayrıca, TheWizards ve DarkNights arasındaki bağlantılar, saldırganların farklı araçlar ve teknikler kullanarak çeşitli platformları ve hedefleri hedeflediğini gösteriyor. DarkNights, özellikle Android tabanlı cihazlarda çalışan uygulamaları hedef alarak, sistem güncellemelerini ve saldırılarını yönetiyor.
Sonuç ve Güvenlik Tavsiyeleri
Bu gelişmiş saldırı teknikleri, siber güvenlik alanında yeni tehditler olarak öne çıkıyor. Kurum ve bireylerin, meşru yazılım güncellemelerini dikkatle takip etmesi ve IPv6 ağ güvenliğine önem vermesi gerekmektedir. Ayrıca, güçlü antivirüs ve güvenlik çözümleri kullanmak, düzenli sistem güncellemeleri yapmak ve bilinmeyen kaynaklardan gelen dosya ve güncelleme taleplerine karşı dikkatli olmak, olası saldırıların önüne geçmek adına kritik önem taşımaktadır.
