ESET, SprySOCKS'un Yeni Windows Varyantını Tespit Etti: Devlet Kurumları Hedef Edildi
ESET, FishMonger grubunun Windows sistemleri için geliştirdiği SprySOCKS casusluk aracını analiz etti. Araştırmacılar, yeni varyantın devlet kurumlarını hedeflediğini ve gizli veri toplama yeteneklerini ortaya koydu.
Türkiye'de siber güvenlik alanında yeni bir tehdidin kapılarını aralayan ESET'in son raporu, SprySOCKS adlı casusluk aracının Windows sistemlerine özgü yeni bir varyantını ortaya çıkardı. Bu keşif, uluslararası siber suç örgütü FishMonger’ın, özellikle devlet kurumlarını hedef alarak bilgi toplama stratejilerini genişlettiğini gösteriyor. ESET’in uzman ekibi, 2024 yılına kadar Linux ortamlarında aktif olan SprySOCKS’un Windows sürümünü derinlemesine analiz ederek, hem teknik altyapısını hem de dağıtım yöntemlerini belgeledi.
SprySOCKS, ilk kez 2022 yılında Linux tabanlı sistemlerde keşfedildiğinde, özellikle şifreli iletişim kanalları ve gizli veri çıkışı (data exfiltration) yetenekleriyle dikkat çekmişti. Ancak, FishMonger grubunun Windows için geliştirdiği yeni varyant, ek olarak otomatik güncelleme mekanizmaları, çevrimdışı komut ve kontrol (C2) sunucuları ve Windows hizmetleri üzerinden gizlenme stratejileri ekleyerek, siber savunma sistemlerini zorlaştırdı. Bu yeni yapı, Windows işletim sistemlerinde yaygın olarak kullanılan yönetimsel araçlar üzerinden gizli komut dosyaları çalıştırarak, sistem yöneticisinin farkında olmadığı şekilde veri toplama kapasitesine sahip.
FishMonger’in motivasyonu, devlet kurumlarının kritik altyapılarına erişim sağlayarak stratejik bilgi elde etmeye odaklanmış durumda. Raporda, gruptan gelen e-posta phishing kampanyaları, sahte güvenlik güncellemeleri ve sosyal mühendislik teknikleriyle hedef sistemlere girdiği ve ardından SprySOCKS’u kurduğu belirtiliyor. ESET’in analizlerinde, Windows varyantının, ağdaki diğer cihazlarla iletişim kurarken DNS tunneling ve SMB protokollerini kullandığı tespit edildi. Bu teknikler, özellikle kurum içi ağlarda yalıtım (air‑gap) gibi önlemlerin bile aşılmasına olanak tanıyor.
Teknik olarak, ESET’in raporu, SprySOCKS'un Windows varyantının, Windows Defender ve diğer UEFI-BASED güvenlik sistemlerini atlatmak için özel olarak tasarlanmış DLL enjeksiyon yöntemleri kullandığını ortaya koydu. Ayrıca, sistem loglarını temizleme, güvenlik duvarı kurallarını geçici olarak değiştirerek iz sürmeyi zayıflatma ve en son Windows güncellemeleriyle uyumlu sürümleri kullanarak güvenlik duvarı tanılarını dönüştürme gibi gelişmiş teknikler rapor edildi. Bu bulgular, kurumların güvenlik ekiplerinin mevcut tehdit bilgi tabanlarını güncelleyerek, yeni tampon stratejileri geliştirmesi gerektiğini vurguluyor.
Bu gelişmenin etkileri, özellikle kamu sektöründe kritik altyapıların korunması açısından büyük önem taşıyor. SprySOCKS'un Windows varyantı, devlet verilerinin gizli bir şekilde çalınmasını ve potansiyel olarak ulusal güvenlik stratejilerine zarar vermesini mümkün kılıyor. ESET, kamu kurumlarına düzenli güvenlik taramaları yapmalarını, C2 trafiğini izlemelerini ve olağanüstü davranışlara karşı anlık müdahale planları oluşturmalarını öneriyor. Aynı zamanda, siber savunma ekiplerinin, Windows sistemleri için özel olarak tasarlanmış tespit algoritmaları geliştirmesi ve güncellemelerini düzenli olarak uygulaması gerektiğini belirtiyor. Bu tehdit, siber güvenlik alanında sürekli bir evrim ve adaptasyon gerektiren bir gerçekliğe işaret ediyor, bu yüzden kurumların siber savunma organizasyonlarını güçlendirmeleri kaçınılmaz.