Dijital cephede savaş hız kesmeden devam ediyor

Siber güvenlik şirketi ESET, Rus APT kümesi Gamaredon’un gelişmiş bir araç setiyle Ukrayna’ya karşı spearphishing kampanyaları gerçekleştirdiğini duyurdu. Yeni dağıtım usulleri kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını kıymetli ölçüde artıran kümenin maksadı, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk. 

ESET Research, Gamaredon’un güncellenmiş siber casusluk araç seti, yeni kapalılık odaklı teknikleri ve 2024 yılı boyunca gözlemlenen, makul bireyleri, şirketleri yahut departmanları amaç alan son derece şahsileştirilmiş siber taarruzlar olan spearphishing operasyonları hakkında bir doküman yayımladı. Ukrayna Güvenlik Servisi (SSU) tarafından Rusya Federal Güvenlik Servisi’nin (FSB) 18. Bilgi Güvenliği Merkezi’ne atfedilen Gamaredon, en az 2013’ten beri Ukrayna devlet kurumlarını gaye alıyor. Gamaredon, 2024 yılında yalnızca Ukrayna kurumlarına saldırdı. ESET’in son araştırması, kümenin hâlâ epeyce faal olduğunu, daima olarak Ukrayna’yı gaye aldığını lakin taktiklerini ve araçlarını kıymetli ölçüde uyarladığını gösteriyor. Kümenin amacı, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk. Geçen yıl küme, yeni dağıtım prosedürleri kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını değerli ölçüde artırdı ve bir akın yükü sadece Rus propagandası yaymak için kullanıldı.

Gamaredon’un kimlik avı faaliyetleri 2024’ün ikinci yarısında değerli ölçüde ağırlaştı. Kampanyalar çoklukla arka arda bir ila beş gün sürdü ve e-postalar berbat maksatlı arşivler (RAR, ZIP, 7z) yahut HTML kaçakçılığı teknikleri kullanan XHTML belgeleri içeriyordu. Bu evraklar, PteroSand üzere gömülü VBScript indiricilerini çalıştıran makûs maksatlı HTA yahut LNK evraklarını teslim ediyordu. Ekim 2024’te ESET, Gamaredon’un her zamanki taktiklerinden farklı olarak, spearphishing e-postalarının ekler yerine makus gayeli köprüler içerdiği ender bir durum gözlemledi. Ayrıyeten Gamaredon yeni bir teknik daha ortaya koydu: PowerShell komutlarını direkt Cloudflare tarafından oluşturulan alan isimlerinden çalıştırmak için makûs hedefli LNK belgeleri kullanmak, kimi klâsik tespit sistemlerini atlamak. Gamaredon’un araç seti birkaç değerli güncelleme geçirdi. Daha az sayıda yeni araç tanıtılmış olsa da mevcut araçların güncellenmesi ve güzelleştirilmesi için kıymetli kaynaklar harcanmıştır. Yeni araçlar öncelikle saklılık, kalıcılık ve yanal hareket için tasarlandı. Mevcut araçlar ise gelişmiş gizleme, güzelleştirilmiş zımnilik taktikleri ve yanal hareket ve data sızıntısı için sofistike metotlar de dâhil olmak üzere büyük güncellemeler aldı.

Gamaredon’un faaliyetlerini izleyen ESET araştırmacısı Zoltán Rusnák şu açıklamayı yaptı :”Özellikle ilgi cazibeli bir bulgu, Temmuz 2024’te Gamaredon indiricileri tarafından teslim edilen eşsiz bir isim hoc VBScript yükünün keşfedilmesiydi. Bu yükün casusluk fonksiyonu yoktu; bunun yerine tek emeli, Odessa bölgesini gaye alan Rusya yanlısı iletiler yayan Guardians of Odessa isimli bir Telegram propaganda kanalını otomatik olarak açmaktı.

Ayrıca 2024 yılı boyunca Gamaredon ağ tabanlı savunmalardan kaçma konusunda ısrarlı bir kararlılık göstermiştir. Küme, daha düşük bir ölçekte de olsa süratli akan DNS tekniklerinden yararlanmaya devam etti ve tesir alanlarının ardındaki IP adreslerini sık sık değiştirdi. Gamaredon, C&C altyapısını gizlemek ve dinamik olarak dağıtmak için Telegram, Telegraph, Codeberg, Dropbox ve Cloudflare tünelleri üzere üçüncü taraf hizmetlerine giderek daha fazla bel bağladı.Rusnák “Gözlemlenebilir kapasite sınırlamalarına ve eski araçları terk etmesine karşın Gamaredon daima yenilikçiliği, agresif spearphishing kampanyaları ve tespitlerden kaçmak için ısrarlı uğraşları nedeniyle kıymetli bir tehdit aktörü olmaya devam ediyor. Rusya’nın Ukrayna’ya karşı savaşı devam ettiği sürece, Gamaredon’un da taktiklerini geliştirmeye devam edeceğini ve Ukrayna kurumlarına karşı siber casusluk operasyonlarını ağırlaştıracağını varsayım ediyoruz” diye ekledi.

 

 

Kaynak: (BYZHA) Beyaz Haber Ajansı