0

BEĞENDİM

ABONE OL

News

0

PipeMagic Arka Kapısında Yeni Dalga

Kaspersky ve BI.ZONE uzmanları, ilk kez 2022’de tespit edilen PipeMagic arka kapısına ait yeni ve aktif saldırı kampanyalarını ortaya çıkardı. Siber tehdidin coğrafi olarak genişlediği gözlemlenirken, ilk vurduğu Asya bölgesinin ardından 2024 sonunda Suudi Arabistan’daki kuruluşları, 2025’te ise Brezilya’daki imalat şirketlerini hedef aldığı tespit edildi. Bu genişleme, saldırganların yeni sektörler ve bölgelerde faaliyet gösterdiğine işaret ediyor.

Aktif Olarak İstismar Edilen Kritik Güvenlik Açığı

Araştırmacılar, saldırı zincirinde Microsoft’un clfs.sys günlük sürücüsündeki bir zafiyetten kaynaklanan CVE-2025-29824 güvenlik açığının aktif olarak istismar edildiğini doğruladı. Nisan 2025’te yamalanan 121 açık arasında aktif olarak kötüye kullanılan tek açık olan bu zafiyet, saldırganlara işletim sisteminde ayrıcalık yükseltme imkanı tanıyor.

Gelişmiş Savunma Atlatma Teknikleri

2025 kampanyasında kullanılan saldırı yöntemlerinden biri, iki amaçlı bir Microsoft Yardım Dosyası’nı araç olarak kullandı. Bu dosya hem şifre çözmeye hem de kabuk kodu çalıştırmaya yarıyor. Kötü amaçlı kod, RC4 akış şifresi ile şifrelenmiş durumda. Şifresi çözüldükten sonra, kod WinAPI EnumDisplayMonitors işlevi aracılığıyla çalıştırılarak sistem API adreslerinin dinamik olarak çözülmesini sağlıyor ve tespit edilmekten kaçınıyor.

Sahte ChatGPT Uygulaması Yem Olarak Kullanılıyor

Saldırganların sosyal mühendislik taktiklerinde de bir evrim gözlemlendi. PipeMagic yükleyicisinin, popüler yapay zeka sohbet botu ChatGPT’yi taklit eden sahte bir istemci uygulaması şeklinde paketlendiği tespit edildi. Bu uygulama, 2024’te Suudi Arabistan’a yönelik saldırılarda kullanılanla aynı Tokio ve Tauri çerçevelerini, aynı kütüphane sürümünü paylaşıyor ve benzer davranışlar sergiliyor.

Uzmanlar Kurumları Uyarıyor

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, “PipeMagic’in yeniden ortaya çıkışı, bu kötü amaçlı yazılımın hala aktif ve sürekli geliştiğinin bir kanıtı. 2024 sürümleri, altyapıda kalıcılığı artıran ve hedeflenen ağlarda yanal hareketi kolaylaştıran iyileştirmeler içeriyor” açıklamasını yaptı.

BI.ZONE Güvenlik Açığı Araştırma Lideri Pavel Blinnikov ise clfs.sys’nin siber suçlular arasında giderek popülerleştiğine dikkat çekerek, “Bu tür tehditleri azaltmak için hem erken aşamada hem de istismar sonrası şüpheli davranışları tespit edebilen EDR çözümlerinin kullanılmasını öneriyoruz” dedi.