PipeMagic Tehdidi Suudi Arabistan ve Brezilya’ya Sıçradı
PipeMagic Arka Kapısında Yeni Dalga
Kaspersky ve BI.ZONE uzmanları, ilk kez 2022’de tespit edilen PipeMagic arka kapısına ait yeni ve geniş kapsamlı bir siber casusluk kampanyasını ortaya çıkardı. Tehdit aktörleri, saldırılarının coğrafi menzilini önemli ölçüde genişleterek Suudi Arabistan’daki kuruluşların yanı sıra Brezilya’daki imalat şirketlerini de yeni hedef olarak belirledi. Bu hamle, grubun küresel çapta faaliyet gösteren kritik sektörlere olan ilgisinin arttığını gösteriyor.
Kritik Microsoft Açığı Aktif Olarak İstismar Ediliyor
Araştırmacılar, saldırı zincirinde Microsoft’un clfs.sys sürücüsündeki bir güvenlik açığından (CVE-2025-29824) yararlanıldığını tespit etti. Nisan 2025’te yayınlanan 121 açık arasında aktif olarak istismar edilen tek güvenlik açığı olan bu zafiyet, saldırganlara işletim sisteminde ayrıcalık yükseltme imkanı tanıyor. Kampanyanın bir diğer dikkat çekici tekniği ise, şifre çözme ve kabuk kodu çalıştırma amacıyla iki amaçlı bir Microsoft Yardım Dosyası’nın kullanılması oldu. Şifrelenmiş kod, WinAPI aracılığıyla çalıştırılarak sisteme sızmak için kullanıldı.
Gelişmiş Sosyal Mühendislik: Sahte ChatGPT Uygulaması
Saldırganların kimlik avı ve yazılım dağıtım taktiklerini geliştirdiği gözlemlendi. PipeMagic yükleyicisinin, popüler yapay zeka sohbet istemcisi ChatGPT’yi taklit eden sahte bir uygulama görünümüne büründüğü tespit edildi. Bu uygulama, 2024’te Suudi Arabistan’a yönelik saldırılarda kullanılan yazılımla aynı teknik altyapıyı (Tokio ve Tauri çerçeveleri) ve dosya yapısını paylaşıyor, dolayısıyla aynı grubun operasyonu olduğuna işaret ediyor.
Uzmanlar Kurumları Uyarıyor
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, PipeMagic’in yeniden ortaya çıkışının yazılımın aktif ve gelişmeye devam ettiğinin bir kanıtı olduğunu vurguladı. Bezvershenko, 2024 sürümlerinin, hedef altyapılarda kalıcılığı artıran ve ağ içinde yanal hareketi kolaylaştıran iyileştirmeler içerdiğinin altını çizdi. BI.ZONE Güvenlik Açığı Araştırma Lideri Pavel Blinnikov ise, clfs.sys sürücüsünün siber suçlular arasında giderek popülerleştiğine dikkat çekerek, bu tür gelişmiş tehditlere karşı hem erken tespit hem de istismar sonrası davranışları izleyebilen EDR çözümlerinin kullanımını önerdi.
News