sloppylemming grubu pakistan ve bangladeş'i hedef almış
arkadaşlar, sloppylemming diye bilinen tehdit aktör grubu yine iş başında. bu sefer pakistan ve bangladeş’teki devlet kurumları ile kritik altyapı operatörlerini hedef almışlar. arctic wolf’un raporuna göre saldırılar ocak 2025’ten ocak 2026’ya kadar sürmüş.
spoiler: bu grup iki farklı saldırı zinciri kullanarak burrowshell ve rust tabanlı kötü amaçlı yazılımlar dağıtmış. yani klasik tek yöntemle gelmediler, çift taraflı oyun oynamışlar.
olay ne tam olarak
sloppylemming grubu, hedef sistemlere sızmak için iki ayrı attack chain (saldırı zinciri) kullanmış. birinci zincirde burrowshell denen bir malware var, ikinci zincirde ise rust programlama diliyle yazılmış başka bir zararlı.
bu gruplar genelde devlet kurumlarını hedef aldığında işin rengi değişiyor çünkü kritik altyapılar söz konusu. enerji, telekomünikasyon, su gibi hayati sistemler risk altına giriyor.
teknik detaylar
arctic wolf’un analizi şunları ortaya koymuş:
saldırı vektörü:
- çift malware zinciri kullanımı
- burrowshell: shell erişimi sağlayan backdoor tarzı bir araç
- rust-based malware: modern programlama diliyle yazılmış, tespit edilmesi daha zor
hedef profili:
- pakistan devlet kurumları
- bangladeş devlet kurumları
- kritik altyapı operatörleri
zaman çizelgesi:
- ocak 2025 - ocak 2026 arası aktif kampanya
etkilenen bölgeler
| ülke | sektör | risk seviyesi |
|---|---|---|
| pakistan | devlet kurumları | 🔴 yüksek |
| pakistan | kritik altyapı | 🔴 yüksek |
| bangladeş | devlet kurumları | 🔴 yüksek |
| bangladeş | kritik altyapı | 🔴 yüksek |
ne yapmalısınız
agalar, özellikle bölgede faaliyet gösteren veya bu ülkelerle iş yapan kurumlar dikkat etsin:
1. log analizi yapın
# son 30 günlük şüpheli aktiviteleri kontrol edin
grep -i "burrowshell\|suspicious" /var/log/syslog | tail -100
# network bağlantılarını inceleyin
netstat -tulpn | grep ESTABLISHED
# şüpheli processleri kontrol edin
ps aux | grep -E "sh$|bash$" | grep -v grep
2. ioc taraması
# burrowshell ioc'lerini arayın (arctic wolf raporundan alın)
find / -name "*.sh" -mtime -365 -exec grep -l "burrowshell" {} \;
# rust binary'lerini kontrol edin
find /tmp /var/tmp -type f -executable -mtime -30
3. network monitoring
# outbound bağlantıları izleyin
tcpdump -i any -n 'tcp[tcpflags] & tcp-syn != 0' -w capture.pcap
# firewall loglarını inceleyin
tail -f /var/log/firewall.log | grep -i "outbound"
alınacak önlemler
şimdi ne yapacaksınız:
- edr/xdr çözümlerinizi güncelleyin: burrowshell ve rust-based malware imzalarını ekleyin
- network segmentasyonu: kritik sistemleri izole edin, lateral movement’i engelleyin
- log retention: en az 90 günlük log tutun, siem’e entegre edin
- threat hunting: arctic wolf’un yayınladığı ioc’leri sistemlerinizde arayın
- incident response planı: bu tip saldırılar için hazırlıklı olun
dikkat: özellikle devlet kurumları ve kritik altyapı operatörleri acil olarak sistemlerini tarasın.
geçici çözümler
yamayı hemen uygulayamıyorsanız:
- network seviyesinde: bilinen kötü ip’leri firewall’da bloklayın
- endpoint seviyesinde: application whitelisting aktif edin
- monitoring: şüpheli shell aktivitelerini 7/24 izleyin
- yetkilendirme: gereksiz admin yetkilerini kaldırın
# basit bir monitoring scripti
#!/bin/bash
while true; do
# şüpheli shell processlerini kontrol et
ps aux | grep -E "sh$|bash$" | grep -v grep | \
while read line; do
echo "[$(date)] Suspicious shell detected: $line" >> /var/log/shell-monitor.log
done
sleep 60
done
kaynaklar
- arctic wolf raporu
- sloppylemming threat profile
- burrowshell malware analysis
edit: bu tip apt (advanced persistent threat) grupları genelde uzun süreli kampanyalar yürütür. bir kere sızdılarsa aylarca sistemde kalabilirler. o yüzden sadece temizlik yapmak yetmez, köklü bir threat hunting gerekir.
edit 2: rust ile yazılmış malware’ler son zamanlarda artıyor çünkü cross-platform çalışıyorlar ve static analysis araçları henüz tam olarak algılayamıyor. dikkatli olun.
beyler, özellikle devlet kurumlarında çalışan sistem yöneticileri bu haberi ciddiye alsın. apt grupları genelde sessiz sedasız işlerini görürler, fark ettiğinizde iş işten geçmiş olabilir. proaktif olun, logları düzenli inceleyin, anomali detection sistemlerinizi güncel tutun.
Bu içerik yapay zeka tarafından oluşturulmuştur.