Etkileşimli kötü amaçlı yazılım analizi ve tehdit istihbaratı çözümlerinin lider sağlayıcısı olanANY.RUNtarafından ortaya çıkarılan aktif birPhantomEnigmakampanyasında 20'den fazla Brezilya hükümeti web sitesi ele geçirildi ve kötü amaçlı yazılım dağıtım kanallarına dönüştürüldü.
Soruşturma, bankaları ve kamu kurumlarını riske sokan bir kampanyanın arkasında daha önce belgelenmemiş arka kapı davranışlarını, gizli altyapı ilişkilerini ve birden fazla saldırı kolunu ortaya çıkardı.
ANY.RUN araştırmacıları, yüzlerce alakasız sanal alan oturumunu birbirine bağlayarak operasyonun daha geniş kapsamını ortaya çıkardı ve güvenilir .gov.br bağlantılarının ve kimliği doğrulanmış e-postaların, etkinliğin gizli kalmasına nasıl yardımcı olduğunu gösterdi.
Teknik analizin tamamı, altyapı ayrıntıları, göstergeler ve tespit kılavuzu içinPhantomEnigma soruşturma raporunun tamamını okuyun
Güvenilir Devlet Altyapısı Cazibeye Dönüştü
Saldırı, resmi "Ofício Polícia Civil" veya "Procuração Digital" bildirimleri olarak sunulan sahte polis temalı belgelerle başladı. Bazıları QR kodları içeriyordu, diğerleri ise alıcıları meşru devlet kaynakları gibi görünecek şekilde tasarlanmış bağlantılara yönlendiriyordu.
![]() |
| Sahte polis temalı belge, PhantomEnigma saldırısının tam olarak görülebilmesi için ANY.RUN sanal alanında analiz edildi |
Birçok durumda, e-postalar güvenliği ihlal edilmiş posta kutuları aracılığıyla gönderildi ve SPF, DKIM ve DMARC kontrollerinden geçti. Bu, mesajlara sıradan sahte kimlik avı e-postalarından daha güçlü bir meşruiyet görünümü kazandırdı.
Kurbanlar daha sonra kötü niyetli yükleyiciye ulaşmadan önce güvenliği ihlal edilmiş .gov.br ana bilgisayarları veya polis temalı benzer alanlar aracılığıyla yönlendiriliyordu. Hükümet sistemleri, mutlaka kampanyanın nihai hedefi olarak değil, güvenilir dağıtım altyapısı olarak kullanıldı.
Gözlemlenen Hükümet Ev Sahipleri
Soruşturma sırasında gözlemlenen ele geçirilen sistemler arasında timon.ma.gov[.]br, loginam.sesp.es.gov[.]br (devlet kamu güvenliği), aplicacao.cbm.mt.gov[.]br (itfaiye), prodoc.ap.gov[.]br ve diğerleri vardı.
![]() |
| Güvenliği ihlal edilmiş hükümet barındırıcılarını içeren TI Arama sorgusu |
Bu meşru belediye, kamu güvenliği ve yargı portalları, dağıtım zincirinin farklı aşamalarında kullanıldı. Birkaç tanesi birden fazla PhantomEnigma saldırı kolunda ortaya çıktı ve araştırmacıların başlangıçta ilgisiz görünen faaliyetler arasında bağlantı kurmasına yardımcı oldu.
PhantomEnigma'nın Evrimi: Daha Zorlu Tespit Edilmeye Giden İki Yol
![]() |
| PhantomEnigma'nın kötü niyetli faaliyetinin zaman çizelgesi |
Zaman çizelgesi, iki ana yolda gelişen bir operasyonu gösteriyor:
Teslimat:PhantomEnigma, 2025'te bankacılık odaklı faaliyetten 2026'da güvenliği ihlal edilmiş .gov.br web sitelerini ve e-posta hesaplarını kötüye kullanmaya geçti. Bu, kampanyaya daha güvenilir bir yol sağladı. yeni bir hedef grubu onaylamadan mağdurlara.
Arsenal:Kötü amaçlı yazılım, bir tarayıcı uzantısı bankacısından, JavaScript'i çalıştırabilen ve ek veriler sunabilen modüler bir Inno/Node.js arka kapısına dönüştü.
Güvenlik ekipleri için bu kombinasyon ciddi bir görünürlük açığı yaratıyor. Güvenilir altyapı şüpheyi azaltır, modüler veriler enfeksiyondan sonra değişebilir ve dönen C2 alanları, statik engelleme listelerinin hızla geçerliliğini yitirmesine neden olur. Davranış analizi ve sürekli tehdit avcılığı, kampanya geliştikçe daha güvenilir kapsam sağlar.
Güvenilir E-postadan Tam Uzlaşmaya: PhantomEnigma Saldırı Zinciri
![]() |
| PhantomEnigma'nın etkileşimli sanal alan içindeki analiz süreci |
Bir kurban yemle etkileşime girdiğinde, kampanya çok aşamalı bir enfeksiyon zincirinden geçti:
- Kimlik avı e-postası:Sahte bir polis temalı veya resmi belge yemi kurbana ulaşır.
- Güvenilir altyapı:Bağlantı, güvenliği ihlal edilmiş bir hükümet barındırıcısı veya polis temalı benzer alan adı üzerinden yönlendiriliyor.
- Kötü amaçlı yükleyici:Inno Kurulumu, MSI veya başka bir yükleyici bulaşmayı başlatır.
- Yamalı Electron uygulaması:Yasal yazılım, kötü amaçlı bir index.js arka kapısı yüklüyor.
- Arka kapı aktivasyonu:Kötü amaçlı yazılım, sistem verilerini toplar, kalıcılık sağlar ve dönen C2 altyapısına bağlanır.
- İkinci aşama dağıtım:Arka kapı, JavaScript'i çalıştırır veya hırsızları, yükleyicileri, RMM yazılımlarını ve diğer kötü amaçlı yazılımları dağıtır.
- İş etkisi:Enfeksiyon, kimlik bilgilerinin tehlikeye atılmasına, yetkisiz erişime, dolandırıcılığa, verilerin açığa çıkmasına ve operasyonel kesintiye neden olabilir.
Araştırmacılar PhantomEnigma'nın Arka Kapısında Neler Buldu?
Korumalı alan oturumları, basit bir indiriciden daha fazlasını açığa çıkardı. Yamalı Boostnote ve diğer uygulamaların içinde, virüslü makineleri tanımlamak, erişimi sürdürmek ve isteğe bağlı olarak farklı yükler sunmak için oluşturulmuş modüler bir index.js arka kapısı gizliydi.
Etkinleştirildikten sonra arka kapı şunları yapabilir:
- Kurbanın bilgisayar adını, kullanıcı adını ve sistem ayrıntılarını toplayabilir
- Kalıcı bir makine kimliği oluşturabilir ve yükleyicinin yanında saklanan bir kampanya etiketini okuyabilir
- Oturum açma ayarları aracılığıyla kalıcılık oluşturabilir
- Her 180 saniyede bir yeni komutları kontrol edebilir
- JavaScript'i doğrudan eval() aracılığıyla çalıştırabilir
- Yürütülebilir yükleri indirebilir ve başlatabilir
- Birden fazla aracılığıyla iletişim kurabilir dönen altyapı boyunca işaret formatları
Bu modüler tasarım, operatörün tüm enfeksiyon zincirini yeniden oluşturmadan son yükü değiştirmesine olanak tanır. Başlangıçta aynı yükleyiciye maruz kalan bir sistem daha sonra bir hırsız, yükleyici, uzaktan yönetim aracı veya başka bir yürütülebilir dosya alabilir; bu da hem tespit etmeyi hem de kontrol altına almayı daha zor hale getirir.
Bankalar ve Kamu Kurumları İçin Bir Uyarı
PhantomEnigma, saldırganların güvenilir altyapıyı nasıl tespit avantajına dönüştürebileceğini gösteriyor. Meşru bir devlet etki alanı, kimliği doğrulanmış e-posta veya temiz dosya kararı, enfeksiyon zinciri zaten aktif olsa bile şüpheyi azaltabilir.
Bankalar ve kamu sektörü kuruluşları için risk, tehlikeye atılmış tek bir uç noktanın ötesine uzanıyor. Çalınan kimlik bilgileri ve kalıcı arka kapı erişimi, dahili sistemleri, hassas verileri ve finansal operasyonları açığa çıkarabilir; parçalanmış uyarılar ise kontrol altına almayı geciktirir.
Güvenlik ekipleri, çalışanlara resmi görünümlü şüpheli mesajları bildirmeleri ve ilk kararın ötesinde bunları soruşturmaları için güvenli bir yol sağlamalıdır. Güvenilir tuzağı erken yakalamak, kimlik bilgileri hırsızlığını, ek yük dağıtımını ve daha geniş bir operasyonel olayı önleyebilir.
Tehdit avcılığını ve yanıtını güçlendirmek için PhantomEnigma IOC'lerini, altyapı bulgularını ve tespit kılavuzunu edinin.




