Siber güvenlik şirketi ESET, Rus APT kümesi Gamaredon’un gelişmiş bir araç setiyle Ukrayna’ya karşı spearphishing kampanyaları gerçekleştirdiğini duyurdu. Yeni dağıtım prosedürleri kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını değerli ölçüde artıran kümenin gayesi, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk.
ESET Research, Gamaredon’un güncellenmiş siber casusluk araç seti, yeni kapalılık odaklı teknikleri ve 2024 yılı boyunca gözlemlenen, belli bireyleri, şirketleri yahut departmanları maksat alan son derece şahsileştirilmiş siber hücumlar olan spearphishing operasyonları hakkında bir doküman yayımladı. Ukrayna Güvenlik Servisi (SSU) tarafından Rusya Federal Güvenlik Servisi’nin (FSB) 18. Bilgi Güvenliği Merkezi’ne atfedilen Gamaredon, en az 2013’ten beri Ukrayna devlet kurumlarını amaç alıyor. Gamaredon, 2024 yılında yalnızca Ukrayna kurumlarına saldırdı. ESET’in son araştırması, kümenin hâlâ epeyce faal olduğunu, daima olarak Ukrayna’yı maksat aldığını lakin taktiklerini ve araçlarını kıymetli ölçüde uyarladığını gösteriyor. Kümenin maksadı, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk. Geçen yıl küme, yeni dağıtım usulleri kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını kıymetli ölçüde artırdı ve bir hücum yükü sadece Rus propagandası yaymak için kullanıldı.
Gamaredon’un kimlik avı faaliyetleri 2024’ün ikinci yarısında değerli ölçüde ağırlaştı. Kampanyalar çoklukla arka arda bir ila beş gün sürdü ve e-postalar berbat hedefli arşivler (RAR, ZIP, 7z) yahut HTML kaçakçılığı teknikleri kullanan XHTML evrakları içeriyordu. Bu belgeler, PteroSand üzere gömülü VBScript indiricilerini çalıştıran berbat maksatlı HTA yahut LNK evraklarını teslim ediyordu. Ekim 2024’te ESET, Gamaredon’un her zamanki taktiklerinden farklı olarak, spearphishing e-postalarının ekler yerine berbat hedefli köprüler içerdiği ender bir durum gözlemledi. Ayrıyeten Gamaredon yeni bir teknik daha ortaya koydu: PowerShell komutlarını direkt Cloudflare tarafından oluşturulan alan isimlerinden çalıştırmak için berbat emelli LNK belgeleri kullanmak, kimi klâsik tespit düzeneklerini atlamak. Gamaredon’un araç seti birkaç değerli güncelleme geçirdi. Daha az sayıda yeni araç tanıtılmış olsa da mevcut araçların güncellenmesi ve uygunlaştırılması için kıymetli kaynaklar harcanmıştır. Yeni araçlar öncelikle kapalılık, kalıcılık ve yanal hareket için tasarlandı. Mevcut araçlar ise gelişmiş gizleme, uygunlaştırılmış zımnilik taktikleri ve yanal hareket ve bilgi sızıntısı için sofistike prosedürler de dâhil olmak üzere büyük güncellemeler aldı.
Gamaredon’un faaliyetlerini izleyen ESET araştırmacısı Zoltán Rusnák şu açıklamayı yaptı :”Özellikle ilgi cazip bir bulgu, Temmuz 2024’te Gamaredon indiricileri tarafından teslim edilen eşsiz bir isim hoc VBScript yükünün keşfedilmesiydi. Bu yükün casusluk fonksiyonu yoktu; bunun yerine tek maksadı, Odessa bölgesini amaç alan Rusya yanlısı bildiriler yayan Guardians of Odessa isimli bir Telegram propaganda kanalını otomatik olarak açmaktı.
Ayrıca 2024 yılı boyunca Gamaredon ağ tabanlı savunmalardan kaçma konusunda ısrarlı bir kararlılık göstermiştir. Küme, daha düşük bir ölçekte de olsa süratli akan DNS tekniklerinden yararlanmaya devam etti ve tesir alanlarının gerisindeki IP adreslerini sık sık değiştirdi. Gamaredon, C&C altyapısını gizlemek ve dinamik olarak dağıtmak için Telegram, Telegraph, Codeberg, Dropbox ve Cloudflare tünelleri üzere üçüncü taraf hizmetlerine giderek daha fazla bel bağladı.Rusnák “Gözlemlenebilir kapasite sınırlamalarına ve eski araçları terk etmesine karşın Gamaredon daima yenilikçiliği, agresif spearphishing kampanyaları ve tespitlerden kaçmak için ısrarlı gayretleri nedeniyle değerli bir tehdit aktörü olmaya devam ediyor. Rusya’nın Ukrayna’ya karşı savaşı devam ettiği sürece, Gamaredon’un da taktiklerini geliştirmeye devam edeceğini ve Ukrayna kurumlarına karşı siber casusluk operasyonlarını ağırlaştıracağını kestirim ediyoruz” diye ekledi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
News
Genel
Genel
Genel
Genel
Genel
Genel
