SideCopy Kampanyası Afgan Finans Kurumlarını Xeno RAT ile Hedefliyor

Yeni bildirilen kampanya, bölgesel casusluk gruplarının yerel dile göre uyarlanmış sosyal mühendislik yöntemlerini hazır uzaktan erişim araçlarıyla nasıl bir araya getirdiğini gözler önüne seriyor. Seqrite Labs araştırmasına dayanan haberlere göre Pakistan bağlantılı SideCopy grubu, XENOFISCAL adıyla takip edilen operasyonda Afganistan Maliye Bakanlığı'nı, taşra gelir ve finans müdürlüklerini ve Pashto konuşan kamu personelini hedef aldı.

Saldırı zinciri, kötü niyetli bir Windows shortcut dosyası barındıran ZIP arşiviyle başlıyor. Dosya adının Pashto dilinde hazırlanması dikkat çekici; çünkü bu tercih Afgan kamu çevrelerinde kullanılan dille uyumlu ve saldırının geniş çaplı bir spam faaliyeti değil, bilinçli bir hedefleme olduğunu gösteriyor. Kurban dosyayı açtığında LNK, mshta.exe aracılığıyla ele geçirilmiş bir Afgan eğitim domain'inden uzaktaki HTML Application dosyasını çekiyor.

Devamında enfeksiyon zinciri bellekte obfuscate edilmiş JavaScript çalıştırıyor, Microsoft Edge'i taklit eden registry tabanlı persistence kuruyor ve DLL tabanlı bir loader üzerinden Xeno RAT 1.8.7 ile bir decoy dokümanı bırakıyor. Bu yapı saldırgana hem gizlilik hem de dikkat dağıtma avantajı sağlıyor: kullanıcı makul görünen bir belgeyle karşılaşırken RAT arka planda hazırlanıyor.

Xeno RAT operatöre geniş bir post-compromise kabiliyeti veriyor. Malware TCP üzerinden komut sunucusuyla haberleşebiliyor, harici DLL modülleri çalıştırabiliyor, verileri sunucuya aktarabiliyor, antivirüs bilgisini toplayabiliyor, SOCKS5 tunneling destekleyebiliyor, dosya işlemleri yapabiliyor, keystroke ve ekran görüntüsü yakalayabiliyor, clipboard'u izleyebiliyor, webcam ve mikrofon sinyallerine erişebiliyor, persistence'ı kaldırabiliyor ve kendini sistemden silebiliyor.

Savunma ekipleri için önemli sinyal yalnızca son malware ailesi değil. Bölgedeki kamu, finans veya diplomatik ortamları izleyen ekipler arşiv içindeki LNK dosyalarına, kullanıcı context'inden çalışan mshta süreçlerine, beklenmeyen eğitim veya kamu domain'lerinden HTA indirmelerine, tarayıcıları taklit eden yeni registry persistence kayıtlarına ve kısa süre önce lure dokümanı açmış endpoint'lerden çıkan şüpheli TCP oturumlarına dikkat etmelidir.