Yatırım holding · Cobalt Strike Malleable C2 · APT41 · 4 ay tespit edilemedi · USOM koordinasyon
Yatırım holding SOC analist HTTPS trafiğinde anormal jitter pattern fark etti: Cobalt Strike Malleable C2 profile (Amazon mimicking) kullanılmış. 4 aydır içeride, 23 endpoint enfekte. APT41 TTP eşleşmesi. DSET pasif gözlem 2 hafta + USOM koordinasyon + koordineli eradication ile 24 ay temiz operasyon, ulusal threat intel paylaşımı sağlandı.
01 Karşılaşılan Durum
Zeek/Suricata: C2 beacon her 60s ± 10s polling (Cobalt Strike default). JA3 fingerprint 72a589da586844d7f0818ce684948eea (Cobalt Strike defaults). 23 endpoint enfekte, CFO + CEO + 4 yatırım analisti dahil. Hassas yatırım stratejileri risk altında.
02 DSET'in Yaklaşımı
T+0 · Pasif gözlem başlat
DSET acil çağrıldı, pasif gözlem 2 hafta TTP toplama planı. Erken hareket APT41'i tetikler.
T+2 hafta · Tam TTP haritası
C2 sunucu kimliği (Çin VPN) + exfil kanalı + IOC'ler tam haritalandı. USOM koordinasyon, 4 ülke yetkilileri ortak iş.
T+15 gün · Koordineli eradication
23 endpoint eş zamanlı temizlik (saldırgan farkına varmadan). USOM ile ortak C2 takedown (Çin VPN sağlayıcısı koordinasyon).
T+18 gün · AD reset
Krbtgt rotation × 2, DA reset, tüm cred reset. Saldırgan tam kovuldu.