Amaranth-Dragon adlı yeni siber casusluk grubu 2025 yılı boyunca sessiz sedasız ama oldukça etkili saldırılar gerçekleştirdi ve özellikle Güneydoğu Asya’daki hükümet kurumlarını radarına aldı. Bu grup öyle rastgele iş yapan bir ekip değil çünkü saldırı zamanlarını Filipin Sahil Güvenliği yıldönümü gibi özel günlere denk getiriyor ve ortak hava kuvvetleri tatbikatları sırasında sahte belgelerle kapıyı çalıyor. Güvenlik uzmanları grubun UTC artı sekiz zaman diliminde çalıştığını fark etti ve kullanılan araçların benzerliği nedeniyle APT41 ile bağlantı ihtimali konuşulmaya başladı. Yani karşımızda amatör bir ekip yok tam tersine oldukça planlı ilerleyen bir yapı var. İlk temas çoğu zaman masum görünen bir dosyayla başlıyor. Sonra zararlı yazılım sessizce sisteme yerleşiyor. Kurban bilgisayarında hiçbir gariplik hissetmiyor. Bu da saldırganlara uzun süre görünmeden kalma fırsatı veriyor.
Araştırmacılar bu operasyonların ciddi disiplinle yürütüldüğünü söylüyor çünkü her adım önceden hesaplanmış gibi ilerliyor. Hedefler genelde stratejik öneme sahip kamu kurumları oluyor. Saldırılar sadece veri çalmak için değil uzun süreli erişim kurmak için yapılıyor. Bölgedeki dijital güvenlik dengesi bu yüzden ciddi şekilde sarsılmış durumda. Kısacası sahnede yeni ama oldukça tehlikeli bir oyuncu var.
WinRAR açığı işin rengini tamamen değiştirdi!
Grubun en büyük kozu CVE 2025 8088 kodlu WinRAR güvenlik açığı oldu çünkü bu açık sayesinde özel hazırlanmış RAR dosyalarıyla sistemin korumalı alanlarına dosya bırakılabiliyor. Amaranth-Dragon bu yöntemi Windows Başlangıç klasörüne gizli komut dosyası koymak için kullandı ve bilgisayar her açıldığında zararlı yazılım otomatik çalışmaya başladı. Böylece saldırganlar kalıcı erişim elde etti ve kurbanın haberi bile olmadan sistemin içinde dolaşmaya başladı. Açık ortaya çıktıktan sadece birkaç gün sonra aktif saldırılarda kullanılmaya başlandı ki bu hız güvenlik dünyasında ciddi şaşkınlık yarattı.
Saldırı zinciri oldukça sade ama bir o kadar etkili ilerliyor çünkü önce yükleyici çalışıyor sonra şifrelenmiş zararlı yazılım sisteme iniyor ardından uzaktan yönetim altyapısı devreye giriyor. Kurban cihaz arka planda kontrol altına alınıyor. Veri toplama sessizce sürüyor. Dışarıdan bakıldığında bilgisayar gayet normal çalışıyor gibi görünüyor. İşte en tehlikeli tarafı da tam olarak burası.
Eylül 2025 döneminde grup TGAmaranth RAT adlı yeni uzaktan erişim aracını devreye aldı ve bu araç Telegram botları üzerinden komut alıp göndererek kötü amaçlı trafiği normal sohbet gibi göstermeyi başarıyor. Bu yazılım antivirüs sistemlerini ve EDR çözümlerini atlatabiliyor çünkü güvenlik izleme araçlarını bellekten ayırarak adeta savunmayı kör ediyor. Saldırganlar dosya aktarabiliyor ekran görüntüsü alabiliyor ve uzaktan komut çalıştırabiliyor. Yani kurban bilgisayar tam anlamıyla uzaktan kumandayla yönetilen bir cihaza dönüşüyor.
Uzmanlara göre Amaranth-Dragon bölgesel siber tehditlerde yeni bir dönemi temsil ediyor çünkü jeopolitik hedefleme ile yeni güvenlik açıklarının hızlı kullanımı birleşince yüksek değerli hedefler kısa sürede ele geçirilebiliyor. Önümüzdeki aylarda benzer saldırıların başka ülkelerde görülmesi kimseyi şaşırtmayacak. O yüzden dosya açarken iki kere düşünmek artık tavsiye değil zorunluluk haline geldi çünkü bu tarz gruplar en küçük fırsatı bile kaçırmıyor.
Henüz hiç yorum yapılmamış. İlk yorumu sen yap!
