Özet
Bir SOC müşterimizin çalışanına, bir NATO zirvesinin açılış günü zararsız görünümlü bir "fiyat teklifi" ulaştı. Ekte dosya yoktu; mailin gövdesinde Google Drive'a giden bir indirme bağlantısı vardı. Bağlantının ucundaki .jar, üç katman şifre çözümünün ardında canlı bir komuta-kontrol (C2) sunucusuna bağlanan tam teşekküllü bir uzaktan erişim truva atı (RAT) çıktı.
Netlore Security Tehdit Araştırma ekibi olarak örneği bir kez bile çalıştırmadan, internet bağlantısı tamamen kesilmiş izole bir laboratuvarda uçtan uca çözdük ve kampanyanın bu varyantına ait canlı C2 konfigürasyonunu kendi elimizle çıkardık. Karşımıza çıkan zincir, Türkiye'yi hedeflediği bilinen ve kamuya açık sandbox/antivirüs çözümlerinin çoğunu atlatmasıyla tanınan SoupDealer yükleyicisi ve onun taşıdığı Adwind RAT'ıydı. Daha da önemlisi bu örnek, kampanyanın kamuya açık kaynaklarda henüz belgelenmemiş yeni bir sürümüydü: Tor yerine doğrudan clearnet C2 kullanıyor ve komut geldiğinde makineyi açılamaz hale getirebilen yıkıcı bir modül taşıyor.
| Alan | Değer |
|---|---|
| Tarih | 6 Temmuz 2026 |
| Aile | SoupDealer → Adwind (jRAT / AlienSpy) |
| Sürüm | 7.4.2.0.F.6 |
| Platform | Java / JAR |
| Hedef | Türkiye |
| Vektör | Phishing e-posta → Google Drive indirme linki (.jar) |
| Önem derecesi | Kritik, C2 aktif |
| TLP | CLEAR |
Yazının başındaki görsel neden orada?
Bu yazının kapağındaki görsel bir tasarım tercihi değil; doğrudan zararlının içinden çıktı. lady_in_red-wallpaper-2560x1440.jpg adlı bu 1 MB'lık resim, Adwind payload'unun içine gömülü olarak geliyor ve iki işi birden görüyor.
İlki teknik ve sıradan: dosya boyutunu şişirerek bazı sandbox boyut limitlerini ve sezgisel taramaları aşmaya yarayan bir dolgu. İkincisi çok daha kritik. Adwind'in duvar kâğıdı değiştirme modülü, başarılı bir enfeksiyonun ardından bu görseli kurbanın masaüstü duvar kâğıdı yapıyor. Tıpkı bir fidye yazılımının notunu ekrana basması gibi, bir tür imza.
Bu görseli bir cihazın masaüstünde görüyorsanız, o makine büyük olasılıkla çoktan ele geçirilmiştir. Yani bu resim sıradan bir dolgu değil, enfeksiyonun gözle görülür işareti. Analizde SHA256
54a795ea…ile eşleşen bu dosyayı bir kurum cihazında bulmanız, tek başına bir olay müdahalesi başlatmak için yeterli sebeptir.
Bağlam: yoğun bir günde düşük profilli bir tuzak
Bir saldırganın en çok işine yarayan şey kalabalıktır. Kurumların dikkatinin dağıldığı, e-posta trafiğinin arttığı yoğun günlerde kötü amaçlı bir mesajın gözden kaçma ihtimali belirgin biçimde artar. Bu örnek de tam böyle bir güne denk geldi: bir NATO zirvesinin başladığı, gündemin ve kurumsal yazışma trafiğinin yoğunlaştığı bir tarihte, müşterimizin bir çalışanının gelen kutusuna tedarik temalı bir phishing e-postası düştü.
Bu örnekte klasik "ekte .jar" kalıbı yoktu, çünkü kurumsal e-posta geçitleri bu tür ekleri çoktan engelliyor. Bunun yerine zararlı dosya Google Drive'a taşınmış, mailde yalnızca bir indirme bağlantısı bırakılmıştı. Bağlantının ucundaki dosyanın adı ise klasik bir sosyal mühendislik tuzağıydı: "06.07.2026 FİYAT TEKLİFİ BEKLENEN ÜRÜNLER". Tam da satın alma ve muhasebe ekiplerinin düşünmeden açtığı türden bir başlık.
E-postanın tonu da bu tabloyu tamamlıyordu. Türkçe bir iş insanı görünen adıyla ("Doğan AKTAŞ") gönderilmiş, konu satırı sürmekte olan bir tedarik yazışmasına verilmiş doğal bir yanıt gibi kurgulanmıştı: "Mrb, hayırlı çalışmalar, dosya da ki parçaların iskonto oranları beraberinde teslimat süresi bilgisi paylaşır mısınız." Aciliyet dayatmayan, mevcut bir sipariş yazışmasının doğal devamı gibi görünen bu talep, çoğu zaman yazışma ele geçirme (thread-hijacking) saldırılarının işaretidir.
Dosyayı hiçbir aşamada çalıştırmadık; analizin tamamı internet bağlantısı olmayan izole bir laboratuvarda yapıldı.
| Metrik | Değer |
|---|---|
| İç içe şifre çözme katmanı | 3 |
| Gömülü payload entropisi | 7.99 / 8.0 (tam şifreli) |
| Ticari obfuscator | Stringer + Allatori |
| Stage-3 RAT sınıf / komut modülü | 65+ |
| VirusTotal ilk gün tespiti | 64 motordan yalnızca 1'i zararlı dedi |
Teslimat zinciri: phishing e-postadan Google Drive'a
Örnek gelen kutusuna doğrudan ek olarak değil, Google Drive üzerinden bir indirme bağlantısıyla ulaştı. Kurumsal e-posta geçitlerinin .jar eklerini engellediği ortamlarda bu bilinçli bir tercih: zararlı dosya hiçbir zaman mailin içinde taşınmıyor, mail yalnızca güvenilir bir buluta işaret eden bir link taşıyor.
Orijinal phishing e-postasını (.msg) inceleyerek teslimat zincirinin tamamını çıkardık:
| Alan | Değer |
|---|---|
| Gönderen | [email protected], görünen ad "Doğan AKTAŞ" |
| Konu | "…iskonto oranları beraberinde teslimat süresi bilgisi paylaşır mısınız." |
| İndirme bağlantısı | drive.google.com/uc?export=download&id=1rZCHjstkxPxJ7RZRPmdf13aJ10Cc14lr |
| Gönderim altyapısı | Yandex Mail (178.154.239.95, AS200350 Yandex.Cloud, RU) |
| Kimlik doğrulama | SPF: none · DKIM: none · DMARC: none · compauth=fail |
| Microsoft filtre sonucu | SCL:1 · SFV:NSPM (Spam Değil), teslim edildi |
| Hedefleme sinyali | LANG:tr (Türkçe) · CTRY:RU (bağlanan IP ülkesi) |
İşin ilginç yanı, mailin en üstünde kurumun kendi güvenlik uyarısı duruyordu: "Bu e-posta kurum dışından gönderilmiştir. Lütfen yalnızca güvendiğiniz kaynaklardan gelen link ve dosyaları açın." Ve tam da o satırın altında Google Drive linki. Saldırgan, "güvenilir kaynak" algısını doğrudan Google'ın alan adı üzerinden kullanıyor.
Kimlik doğrulama baştan sona başarısız, ama mail yine de teslim edilmiş.
8zonetime.comiçin SPF, DKIM ve DMARC'ın üçü de yok (compauth=fail). Buna rağmen mail, Yandex'in gönderim itibarı sayesinde alıcının kutusuna spam işareti almadan (SFV:NSPM) düşmüş. Bu tablo, yalnızca IP itibarına bakan mail filtrelerinin, hiçbir kimlik doğrulaması olmayan bir gönderene nasıl kapı açtığını net biçimde gösteriyor. Öneri: DMARC hizalamasını (p=quarantine/reject) zorunlu kılın; kimliği doğrulanmamışFromalanlarını karantinaya alın.
Neden bu alan adları? Kamuflaj analizi
Kampanyada üç farklı alan adı var ve her biri ayrı bir güven katmanını sömürecek şekilde seçilmiş:
drive.google.com, payload barındırma. Zararlı JAR, Google'ın CDN'inden TLS üzerinden servis ediliyor. Hiçbir URL itibar/kara listesinde yer almıyor, hiçbir kategori filtresi engellemiyor. Bu indirme adresi VirusTotal'da daha önce hiç görülmemiş, tertemiz bir bağlantı.gocebekuslar.store, C2. Türkçe bir ifade: "göçebe kuşlar". Rastgele karakterlerden oluşan bir C2 alan adının aksine, Türk kurbanların ağ trafiğinde organik ve zararsız görünüyor; bir analistin gözüne takılmıyor..storeuzantısı ucuz ve denetimi gevşek; üstelik bazı itibar servisleri bu alanı "shopping" (alışveriş) olarak sınıflandırmış, yani birçok kurumsal web proxy'si kategori bazlı filtrelemede bu alana izin veriyor. Namecheap üzerinden 26 Mart 2026'da, yani kampanyadan yaklaşık 3,5 ay önce kaydedilmiş. Kayıt tarihinin biraz eski tutulması tesadüf değil: "yeni kaydedilmiş alan adı" şüphesinden kurtulacak kadar bekletilmiş, ama hâlâ taze.8zonetime.com, gönderen. Kayıt geçmişi 2019'a uzanan, süresi dolup bırakılmış bir alan adı. Şu an Yandex Mail'e (RU altyapısı) yönlendirilmiş ve geçerli bir SPF/DKIM kaydı yok. Eski itibarını kullanıp kimlik doğrulama denetimlerini atlatmak için yeniden ele geçirilmiş bir alan adı görünümü veriyor.
Saldırı zinciri: JAR içinde JAR içinde RAT
Örnek, tek bir işi yapan bir yükleyici olarak tasarlanmış: her katman bir sonrakini bellekte çözüyor ve diske hiç dokunmadan çalıştırıyor. Bu, imza tabanlı tespiti ve otomatik sandbox'ları etkisiz bırakmaya yönelik bilinçli bir tasarım.
Aşama 01 — Yükleyici Aşama 02 — Dropper Aşama 03 — Payload
┌─────────────────────┐ ┌─────────────────────┐ ┌─────────────────────┐
│ Stringer Loader │ │ Start + stub │ │ Adwind RAT │
│ main-class: a │─AES─▶│ main-class: Start │─RC4─▶│ main-class:Principal│
│ 962 → JAR çözer │ │ stub → Adwind JAR │ │ canlı C2'ye bağlanır│
│ (özel ClassLoader) │ │ + decoy görsel │ │ (Allatori korumalı) │
└─────────────────────┘ └─────────────────────┘ └─────────────────────┘
Aşama 1: Stringer korumalı yükleyici
JAR'ın manifest dosyası niyetini daha ilk bakışta ele veriyor. Meşru bir "fiyat teklifi" eki, Stringer gibi agresif bir kod koruma katmanıyla gelmez:
# META-INF/MANIFEST.MF
# Ticari obfuscator parmak izi (Licel — licelus.com)
Protected-By: 9.0.9 Stringer (20180205)
Protected-Notice: AV contact email - [email protected]
Main-Class: a
Sınıflar tek harfli adlara indirgenmiş (a, n, u, o), tüm metot çağrıları tamsayı hash'leri üzerinden reflection ile yapılıyor ve bütün string'ler çağıran metodun stack-trace'ine kilitli, AES tabanlı bir şemayla şifrelenmiş. Statik analizi kırmak için kurulmuş güçlü bir anti-analiz mekanizması. Ana sınıf a, Java'nın ClassLoader'ını genişletiyor ve gömülü 962 dosyasını javax.crypto.Cipher ile çözüyor.
İkinci aşamanın sinyali.
962dosyası 1.102.656 baytlık, entropisi 7.9998/8.0 olan tamamen rastgele bir blok. Bu değer, verinin ya güçlü şifreli ya da sıkıştırılmış olduğunun kesin işareti. Bir "ürün listesi" için beklenecek en son şey.
String şifrelemesini kırmak için Stringer v9'un çözücü rutinini bir emülatör üzerinde işleterek 2.460 şifreli string'i ortaya çıkardık. Bunun ardından yükleyicinin asıl işi görünür hale geldi: 962 → AES → bir JAR arşivi.
Aşama 2: dropper, decoy görsel ve RC4
Çözülen 962 arşivi klasik bir dropper mimarisi ortaya koyuyor. İçindeki dört bileşenden biri, yazının başında anlattığımız duvar kâğıdı görseli:
# 962 (AES ile çözülmüş) → JAR içeriği
198 META-INF/MANIFEST.MF # Main-Class: Start
134901 stub # RC4-şifreli Adwind (stage-3)
40519 Start.class # stage-2 yükleyici
946248 lady_in_red-wallpaper-2560x1440.jpg # boyut dolgusu + enfeksiyon duvar kâğıdı
İkinci aşama sınıfı Start de kendisi özel bir ClassLoader. stub kaynağını RC4 ile çözerek asıl payload'u, yani bir Adwind JAR'ını ortaya çıkarıyor ve yine belleğe yüklüyor. Görsel ise diske düşen tek somut dosya; enfeksiyon tamamlandığında masaüstünde beliriyor.
Aşama 3: Adwind RAT v7.4.2.0.F.6
RC4 çözümünün sonunda ortaya çıkan JAR kimliğini saklamıyor. İspanyolca paket ve sınıf adları (opciones = seçenekler, Archivo = dosya, Borrar = sil, Instalador = yükleyici), extra/secure/AntiKill gibi güvenlik-yazılımı sonlandırıcıları ve bir Tor/ paketi; hepsi Adwind / jRAT / AlienSpy ailesinin bilinen imzası. Manifest Main-Class: Principal diyor; konfigürasyon ise Allatori string şifrelemesinin ardında bekliyordu.
Allatori katmanını çözdükten sonra, RAT'ın operatör tarafından derlenmiş konfigürasyonu config/ConfigSet sınıfında olduğu gibi karşımıza çıktı. Bu analizin en değerli çıktısı da buydu:
// config/ConfigSet.class — deobfuscate edilmiş
static {
SOURCE_VERSION = "7.4.2.0.F.6";
ENCVERUPGKEYGEN = "GEN.2.1.3";
CONNECT_DNS = "gocebekuslar.store"; // C2 — kontrol
TOR_UPLOAD_DNS = "gocebekuslar.store"; // C2 — yükleme
PASSWORD = "04d3978c339e5601d4eb7411946b691c746a6438";
PREFIX = "SPAM";
STARTUP_TYPE = "REGEDIT"; // registry kalıcılığı
STARTUP_DELAY = 60L;
}
// PORT_1 = 10820 (DNS/kontrol) PORT_2 = 35744 (yükleme)
Canlı C2 konfigürasyonu
| Anahtar | Değer |
|---|---|
| CONNECT_DNS | gocebekuslar.store → 93.185.166.150 |
| Kontrol portu | 10820 / TCP |
| Yükleme portu | 35744 / TCP |
| Parola | 04d3978c339e5601d4eb7411946b691c746a6438 |
| Prefix | SPAM |
| Kalıcılık | REGEDIT (Run anahtarı) + 60 sn gecikme |
| Coğrafi filtre | freeipapi.com · ipinfo.io |
Bu varyant Tor kullanmıyor: doğrudan clearnet C2
Kamuya açık SoupDealer raporlarının (Ağustos 2025) tamamı .onion üzerinden Tor'a yönlenen C2 ve 49152/49153 portlarından söz eder. Bu örnek farklı. config/ConfigSet içinde TOR = false; Tor/TorDinamicLink sınıfı yalnızca dist.torproject.org üzerinden Tor Browser'ı indiren yardımcı bir bileşen. Asıl bağlantı doğrudan clearnet gocebekuslar.store alan adına, 10820 ve 35744 portlarından kuruluyor; .onion alanı bu build'de hiç doldurulmamış (ONION NOT FOUND).
Kendi örneğimizi çözmenin belirleyici olduğu nokta tam burası. Bu varyantın portları ve clearnet C2 alan adı, kampanyanın kamuya açık referans örneklerinden farklı; IOC'leri başka raporlardan kopyalamak yanıltıcı olurdu. Canlı C2'yi yalnızca bu örneği kendimiz çözerek elde edebildik. Ortak parola hash'i ve SPAM prefix'i ise aynı aktörü işaret ediyor. Yani elimizdeki, kamuya açık kaynaklarda henüz belgelenmemiş taze bir gösterge.
Yetenekler
Adwind, modüler bir komut mimarisine sahip çapraz-platform bir RAT. Bu örnekteki sınıf envanteri şu yetenekleri ortaya koyuyor:
- Gözetleme:
OrdenCaptura(ekran görüntüsü),SendTumbnail,WebBot/Informacion(sistem keşfi) - Dosya işlemleri:
LocalFileUpload/Download,Archivo · Copiar · Borrar,BuscarArchivos(dosya arama) - Komut ve kontrol:
Signal · Opcion1–9,WinRegistry · Update,Downloader · Instalador - Kaçırma / savunma imhası:
AntiKill(44 KB) ·WinKill,SecTools(güvenlik aracı sonlandırma), gizliPowerShell -EncodedCommand - Kalıcılık:
StartUp— Registry Run (REGEDIT),schtaskszamanlanmış görev, 60 sn gecikmeli tetikleme - Anti-analiz / coğrafya:
GetIP(coğrafi filtre, yalnız TR),ping localhost -n 7(geciktirme), TOR indirme ve duvar kâğıdı değiştirme
Yıkıcı ve kendini koruyan modüller
Adwind çoğunlukla bir bilgi hırsızı ya da uzaktan erişim aracı olarak anılır. Ancak bu örnekteki iki modül, ondan beklenenin ötesinde bir hasar ve dayanıklılık kapasitesi gösteriyor.
WinKill, yıkıcı modül
RAT, komut geldiğinde makineyi kullanılamaz hale getirebiliyor. extra/secure/WinKill, kritik önyükleme dosyalarını hedefleyip siliyor ya da bozuyor:
\bootmgr
\System32\winload.exe
\System32\Drivers\pci.sys
Bu dosyaların bozulması sistemin açılmasını engeller. Modül, bir sabotaj komutu ya da izleri temizlemeye yönelik anti-forensik bir adım olarak kullanılabilir. Bir bilgi hırsızı için beklenenin çok ötesinde, ciddi bir yıkım yeteneği.
AntiKill, kendini koruma ve UAC yükseltme
extra/secure/AntiKill bir bekçi süreç (watchdog) gibi çalışıyor: çalışan JAR ile kurulu JAR'ı sürekli karşılaştırıyor ve gerektiğinde kendini yeniden başlatıyor. Bunu yaparken UTF-16LE Base64 kodlu, gizli pencereli bir PowerShell çağrısı kullanıyor ve UAC yükseltmesi talep ediyor:
powershell.exe -nop -noni -win h -enc <base64>
└─ Start-Process -FilePath "<javaw>" -ArgumentList '-jar','"<jar>"' -win h -Verb RunAs
-Verb RunAs bayrağı, işlemi yönetici haklarıyla yeniden başlatma talebidir. Kullanıcı UAC istemine onay verdiğinde RAT yükseltilmiş yetkilerle çalışmaya devam eder.
Kalıcılık, coğrafi kısıtlama ve bırakılan dosya deseni
Kalıcılık iki yöntemle sağlanıyor:
- Registry Run:
Software\Microsoft\Windows\CurrentVersion\Runaltına rastgele adlı bir değer yazılıyor. - Zamanlanmış görev:
schtasks /Create /TR "<javaw -jar ...>" /SC ONLOGON /TN <rastgele>komutuyla oturum açılışında tetikleniyor. KonfigürasyondakiSTARTUP_TYPE=REGEDIThangi yöntemin seçileceğini belirliyor.
Coğrafi kısıtlama ve geciktirme: extra/GetIP, kurbanın IP'sini freeipapi.com ve ipinfo.io üzerinden çözerek zararlıyı yalnızca hedef coğrafyada (Türkiye) çalışacak şekilde filtreliyor; özel ve loopback adresleri eliyor. Ayrıca cmd.exe /c ping localhost -n 7 ile yaklaşık 7 saniyelik yapay bir gecikme uygulayarak otomatik sandbox'ları atlatıyor.
Bırakılan dosya deseni: Tüm dosya, klasör ve anahtar adları enfeksiyon başına rastgele üretiliyor (Utils.RANDOM, 6–32 karakter). Bu yüzden sabit dosya adı IOC'u yok; ancak desenin kendisi güçlü bir tehdit avı sinyali:
| Artefakt | Desen |
|---|---|
| Ana JAR / yükleyici | %APPDATA%\<rastgele 6–32> (jar + lock dosyası) |
| Tor indirmesi | <rastgele 8–32>.exe |
| Duvar kâğıdı | <rastgele 8–32>.bmp |
| Not / işaret dosyaları | <rastgele 6–32>.txt |
| Kalıcılık | Run anahtarı veya ONLOGON görevi, rastgele adlı |
Tehdit avı özeti.
javaw.exe'nin%APPDATA%'dan çalışması, rastgele adlı.exe/.bmp/.txtdosyaları bırakması, bir Run anahtarı ya da ONLOGON görevi yazması ve gizli-encPowerShell doğurması. Bu adımlar bir arada görüldüğünde yüksek güvenilirlikli bir tespit sinyali oluşturur.
MITRE ATT&CK haritalaması
| Taktik | Teknik | Gözlem |
|---|---|---|
| Initial Access | T1566.002 Spearphishing Link | "Fiyat teklifi" temalı mailde Google Drive indirme linki |
| Resource Development | T1608.001 Stage Capabilities: Upload Malware | Payload'un Google Drive'a yüklenmesi |
| Command & Control | T1102 Web Service | Dağıtım için güvenilir bulut (Google Drive) istismarı |
| Execution | T1059.001 PowerShell | Gizli -enc PowerShell |
| Execution | T1204.002 Malicious File | Kullanıcının JAR'ı açması |
| Defense Evasion | T1027 Obfuscated/Encrypted | Stringer v9 + Allatori + AES/RC4 katmanları |
| Defense Evasion | T1140 Deobfuscate/Decode | 3 aşamalı bellek-içi çözme |
| Defense Evasion | T1497 Virtualization/Sandbox Evasion | Coğrafi kısıtlama + ping gecikmesi |
| Defense Evasion | T1562.001 Impair Defenses | AntiKill / SecTools / WinKill |
| Persistence | T1547.001 Registry Run Key | CurrentVersion\Run |
| Persistence | T1053.005 Scheduled Task | schtasks /SC ONLOGON |
| Privilege Escalation | T1548.002 Bypass UAC | PowerShell -Verb RunAs |
| Discovery | T1614.001 System Location Discovery | freeipapi.com / ipinfo.io |
| Collection | T1113 Screen Capture | OrdenCaptura / SendTumbnail |
| Command & Control | T1219 Remote Access Software | Adwind RAT |
| Command & Control | T1571 Non-Standard Port | TCP 10820 / 35744 |
| Impact | T1485 / T1561 Data/Disk Destruction | WinKill boot dosyası imhası |
Altyapı: OSINT pivot
C2 alan adından başlayarak barındırma altyapısını çıkardık:
| Gösterge | Bulgu |
|---|---|
| C2 IP | 93.185.166.150 (93.185.166.0/23) |
| Hosting / ASN | AlexHost Srl · AS200019, Moldova merkezli, kötüye kullanıma göz yuman offshore barındırma |
| C2 domain kaydı | Namecheap, kayıt tarihi 26 Mart 2026 (kampanyadan ~3,5 ay önce); NS/MX: *.registrar-servers.com |
| C2 domain kategorisi | Bazı itibar servislerinde "shopping", bazılarında "Suspicious"; kategori filtrelemesini atlatan kamuflaj |
| Gönderen domain | 8zonetime.com, 2019 kayıtlı, yeniden ele geçirilmiş; şu an Yandex Mail (RU), geçerli SPF/DKIM yok |
| Payload barındırma | drive.google.com (Google Drive direct-download), güvenilir bulut istismarı |
| Aynı IP'de barınan (pivot) | labuba2.farted.net (dinamik DNS, muhtemel aktör altyapısı) |
| Kampanya bağlamı | SoupDealer, Türkiye hedefli, Ağustos 2025'ten beri aktif; bu varyant clearnet C2 ile yeni |
C2 alan adının NS/MX kayıtlarının tamamı Namecheap'in varsayılan yönlendirme altyapısına işaret ediyor; tek kullanımlık, ucuz bir phishing alan adı profili. TLS sertifikası bulunmaması (crt.sh boş), C2'nin HTTPS yerine ham TCP soket protokolü kullanmasıyla tutarlı. C2 IP'sinin, kötüye kullanıma göz yuman offshore bir sağlayıcı olan AlexHost'ta (AS200019) barındırılması da tesadüf değil: operatör, sunucusunun kolay kolay kapatılamamasını önemsiyor.
Neredeyse görünmez bir varyant: VirusTotal telemetrisi
Varyantın ne kadar taze olduğunu en somut gösteren veri, kamuya açık çoklu-motor taramasından geliyor. Ana JAR (SHA256 e4d40008…) VirusTotal'e ilk kez 6 Temmuz 2026, 11:45 UTC'de, yani mailin geldiği gün gönderildi.
| VT metriği | Değer |
|---|---|
| İlk görülme | 6 Temmuz 2026, 11:45 UTC |
| Zararlı işaretleyen motor | 1 / 64, yalnız NANO-Antivirus (Exploit.Zip.Heuristic-java.csrvpr, statik ZIP sezgiseli) |
| Dinamik kum havuzu | Zenbox + Zenbox Linux → "CLEAN" (%97–98 güven) |
| VT davranışsal ağ IOC'u | Yok, kum havuzu C2'yi hiç tetiklemedi (evasion) |
| Öne çıkan davranış etiketleri | sets-process-name, detect-debug-environment, long-sleeps |
İki bulgu özellikle dikkat çekici. Statik tarafta 64 motordan yalnızca biri, o da sadece sezgisel bir ZIP kuralıyla yakalayabildi; hiçbir motor örneği "Adwind" ya da "SoupDealer" olarak adlandırmadı. Yani imza tabanlı tespit fiilen sıfır. Dinamik tarafta ise VT'nin kum havuzları örneği temiz ilan etti, çünkü coğrafi kısıtlama ve long-sleeps gecikmeleri gerçek davranışı tetiklemeden analizi sonlandırdı. Bu yüzden VT'de örneğe ait hiçbir "contacted domain/IP" ilişkisi yok. Canlı C2'yi ancak kendi kontrollü çözümlememizle ortaya koyabildik.
Tespit oranları zamanla değişir; motorlar imza ekledikçe bu sayı yükselecektir. Buradaki asıl mesele anlık orandan çok, örneğin ilk görüldüğü gün neredeyse hiç tespit almadan ve jenerik bir etiketle dolaşımda olması. Zero-day benzeri kısa ama gerçek bir pencere. İmzaya ve klasik AV'ye güvenmeyin; davranışsal EDR ve ağ tespiti önceliklidir.
Metodoloji: payload'u hiç çalıştırmadan canlı config çıkarmak
Bu tür çok katmanlı, stack-trace'e kilitli obfuscation'ı yenmenin yolu örneği çalıştırmak değil; çözücü rutinleri kontrollü biçimde işletip payload'u tam ortaya çıktığı anda yakalamaktır. Netlore Tehdit Araştırma ekibinin izlediği güvenli çözümleme yöntemi şöyleydi:
- String'leri emülatörde çözdük. Gerçek işletim sistemine hiç dokunmadan, Stringer v9 (2.460 string) ve Allatori (1.095 string) katmanlarını bir emülatör içinde açtık.
- Payload'u bellekte, oluştuğu anda yakaladık. Özel bir Java agent ile
ClassLoader.defineClass,ByteArrayInputStreamve konfigürasyon haritası çağrılarına kanca taktık; her aşamanın çözülmüş hâlini tam bu noktada diske aldık. - İnternete tamamen kapalı bir ortamda çalıştırdık. Zincirin tamamı, ağ bağlantısı olmayan izole bir namespace içinde çalıştı; dışarıya tek bir paket bile gidemezdi.
- Zararlı kod çalışmadan önce süreci durdurduk. Asıl zararlı sınıfların statik başlatıcısı (
<clinit>) hiçbir zaman devreye girmedi; çözülmüş baytları alır almaz süreci sonlandırdık.
Sonuçta, örneği bir kez bile çalıştırmadan bu varyanta ait canlı ve doğrulanmış komuta-kontrol altyapısını elde etmiş olduk.
Tespit ve müdahale önerileri
- Engelle:
gocebekuslar.storeve93.185.166.150adreslerini DNS ve firewall katmanında engelleyin; giden TCP 10820 ve 35744 trafiğini izleyip durdurun. - Mail katmanı: Gönderen alan adı
8zonetime.comve[email protected]adresini engelleyin; DMARC hizalamasını zorunlu kılın (p=quarantine/reject) ve SPF/DKIM'i olmayan (compauth=fail) gönderenleri işaretleyin. Google Drive gibi güvenilir bulut alan adlarını "beyaz liste" gibi görmeyin; indirilen dosya türüne göre CDR/sandbox uygulayın. - Karantina: Örnek SHA256'sını EDR/AV'de bloklayın; mail geçidinde
.jareklerini ve bulut paylaşım linklerinden inen.jar/.jnlp/.jsdosyalarını varsayılan olarak karantinaya alın. - Tehdit avı:
javaw.exe'nin dış bağlantıları,freeipapi.com/ipinfo.iosorguları, gizli PowerShell-EncodedCommandçağrıları, yeni Registry Run anahtarı veschtasksgörevleri, yıkıcıWinKillboot-dosyası erişimleri; tarayıcı veya indirici süreçlerinindrive.google.com/uc?export=downloadüzerinden çektiği yürütülebilir dosyalar. - Duvar kâğıdı denetimi: Tüm cihazlarda
lady_in_red-wallpaper-2560x1440.jpg(SHA25654a795ea…) dosyasını arayın; bu görselin bir cihazda bulunması doğrudan enfeksiyon işaretidir. - Farkındalık: Satın alma ve muhasebe ekiplerine "fiyat teklifi / sipariş / iskonto" temalı, içinde bulut linki barındıran e-postalara ve
.jar,.jnlp,.jsdosyalarına karşı hedefli uyarı yapın.
Tespit kuralları
Bu varyant için üç katmanda tespit kuralı geliştirdik ve bunları doğrudan devreye alınabilir dosyalar olarak paylaşıyoruz:
- YARA (
soupdealer.yar): aşama-1 yükleyicinin Stringer parmak izi, aşama-3 Adwind ve bu varyantın C2 konfigürasyonu, ayrıca konfigürasyondan bağımsız çalışan davranışsal bir kural. - Suricata / Snort (
soupdealer.rules):gocebekuslar.storeDNS sorgusu,93.185.166.150adresine10820/35744C2 trafiği vefreeipapi.comüzerinden coğrafi kontrol. - Sigma (
soupdealer-sigma.yml):javawkaynaklı gizli-encPowerShell, Run / ONLOGON kalıcılığı, yıkıcıWinKillboot-dosyası silme ve javaw → yüksek portlu C2 bağlantısı.
Bırakılan dosya adları enfeksiyon başına rastgele üretildiğinden, host tarafındaki kurallar sabit dosya adına değil davranışa (süreç ataları, komut satırı, hedef yol ve port) dayanıyor. Bu kural setlerine ihtiyaç duyan SOC ve mavi takım ekipleri bizimle iletişime geçebilir.
Ek: Tehlike Göstergeleri (IOC)
Aşağıdaki göstergeler doğrudan bu örnekten çıkarılmıştır. Ağ göstergeleri yüksek güvenilirlikte ve kalıcıdır; savunma araçlarınıza öncelikle bunları besleyin.
Teslimat / phishing göstergeleri
| Tür | Değer | Not |
|---|---|---|
| Gönderen | [email protected] (görünen ad "Doğan AKTAŞ") | Phishing gönderen, yeniden ele geçirilmiş alan |
| Gönderen alan adı | 8zonetime.com | 2019 kayıtlı; şu an Yandex/RU mail, SPF/DKIM yok |
| Gönderim IP | 178.154.239.95 (AS200350 Yandex.Cloud, RU) | Mail gönderim altyapısı |
| Payload URL | drive.google.com/uc?export=download&id=1rZCHjstkxPxJ7RZRPmdf13aJ10Cc14lr | JAR indirme linki |
| Drive dosya ID | 1rZCHjstkxPxJ7RZRPmdf13aJ10Cc14lr | Google Drive barındırma |
| Konu | …iskonto oranları beraberinde teslimat süresi bilgisi paylaşır mısınız | Tedarik temalı tuzak |
Dosya göstergeleri
| Tür | Değer | Not |
|---|---|---|
| SHA256 | e4d40008b10183524514b7517d7d236d6d99e9b4d4f89292e9ed0983aff619bb | Ana JAR (aşama 1) |
| MD5 | 40e2095555d022e6f4a3a9d12eb164af | Ana JAR |
| SHA256 | 2412a1dfd64d0a5335f14fe48f920bc248b6c903126c8b6b89b02e4feaea72bd | Start.class (aşama 2) |
| SHA256 | 54a795eab5bf70900545596dd7e6da823963d12acc967e4166087f1b5c6b794c | decoy görsel (lady_in_red…jpg) |
| Dosya adı | 06.07.2026 FİYAT TEKLİFİ BEKLENEN ÜRÜNLER1.jar | E-posta eki / tuzak |
| Kaynak | 962 | Gömülü AES payload (1.05 MB) |
| Decoy | lady_in_red-wallpaper-2560x1440.jpg | Boyut dolgusu + enfeksiyon sonrası masaüstü duvar kâğıdı |
Ağ göstergeleri, yüksek öncelik
| Tür | Değer | Rol |
|---|---|---|
| Domain | gocebekuslar.store | C2 (kontrol + yükleme) |
| IPv4 | 93.185.166.150 | C2 çözümlemesi |
| Port | 10820/tcp | Kontrol kanalı (DNS) |
| Port | 35744/tcp | Yükleme kanalı |
| Coğrafi kontrol | freeipapi.com · ipinfo.io | Coğrafi hedefleme (yalnız TR) |
| İndirme | dist.torproject.org/torbrowser/ | TOR bileşeni indirimi |
| ASN / Hosting | AlexHost Srl · AS200019 (Moldova, offshore) | C2 barındırma |
| Registrar | Namecheap (*.registrar-servers.com) | Domain kaydı |
| Ortak barınan (pivot) | labuba2.farted.net | Aynı IP'de dinamik DNS |
Host ve konfigürasyon göstergeleri
| Anahtar | Değer |
|---|---|
| RAT ailesi / sürüm | Adwind (jRAT/AlienSpy) 7.4.2.0.F.6 · ENCVER GEN.2.1.3 |
| Yükleyici | SoupDealer (Stringer v9 + Allatori) |
| Konfig parolası | 04d3978c339e5601d4eb7411946b691c746a6438 |
| Kampanya prefix | SPAM |
| Kalıcılık | Registry Run (STARTUP_TYPE=REGEDIT) · schtasks ONLOGON |
| Manifest imzası | Protected-By: 9.0.9 Stringer |
Hızlı blok listesi
gocebekuslar.store
93.185.166.150
8zonetime.com
[email protected]
178.154.239.95
drive.google.com/uc?export=download&id=1rZCHjstkxPxJ7RZRPmdf13aJ10Cc14lr
e4d40008b10183524514b7517d7d236d6d99e9b4d4f89292e9ed0983aff619bb
40e2095555d022e6f4a3a9d12eb164af
2412a1dfd64d0a5335f14fe48f920bc248b6c903126c8b6b89b02e4feaea72bd
Bu analiz, Netlore Security Tehdit Araştırma ekibi tarafından bir SOC müşterisine ulaşan gerçek bir örnek üzerinde, 6 Temmuz 2026 tarihinde gerçekleştirilmiştir. Tüm örnek işlemleri ağı izole edilmiş kontrollü bir laboratuvar ortamında yapılmıştır. TLP:CLEAR, göstergeler serbestçe paylaşılabilir. İçerik yalnızca savunma ve bilgilendirme amaçlıdır.
Siber Güvenlik Danışmanlığına İhtiyacınız mı Var?
Uzman ekibimiz, kurumsal altyapınızın güvenliğini sağlamak için kapsamlı siber güvenlik hizmetleri sunmaktadır. Sızma testleri, güvenlik denetimleri ve danışmanlık hizmetlerimiz hakkında detaylı bilgi almak için bizimle iletişime geçin.
İletişime Geç