Siber güvenlik şirketi ESET, Rus APT kümesi Gamaredon’un gelişmiş bir araç setiyle Ukrayna’ya karşı spearphishing kampanyaları gerçekleştirdiğini duyurdu. Yeni dağıtım prosedürleri kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını değerli ölçüde artıran kümenin maksadı, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk.
ESET Research, Gamaredon’un güncellenmiş siber casusluk araç seti, yeni kapalılık odaklı teknikleri ve 2024 yılı boyunca gözlemlenen, belli bireyleri, şirketleri yahut departmanları amaç alan son derece şahsileştirilmiş siber ataklar olan spearphishing operasyonları hakkında bir doküman yayımladı. Ukrayna Güvenlik Servisi (SSU) tarafından Rusya Federal Güvenlik Servisi’nin (FSB) 18. Bilgi Güvenliği Merkezi’ne atfedilen Gamaredon, en az 2013’ten beri Ukrayna devlet kurumlarını gaye alıyor. Gamaredon, 2024 yılında yalnızca Ukrayna kurumlarına saldırdı. ESET’in son araştırması, kümenin hâlâ epey faal olduğunu, daima olarak Ukrayna’yı gaye aldığını lakin taktiklerini ve araçlarını değerli ölçüde uyarladığını gösteriyor. Kümenin amacı, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk. Geçen yıl küme, yeni dağıtım metotları kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını kıymetli ölçüde artırdı ve bir taarruz yükü sadece Rus propagandası yaymak için kullanıldı.
Gamaredon’un kimlik avı faaliyetleri 2024’ün ikinci yarısında değerli ölçüde ağırlaştı. Kampanyalar çoklukla arka arda bir ila beş gün sürdü ve e-postalar berbat maksatlı arşivler (RAR, ZIP, 7z) yahut HTML kaçakçılığı teknikleri kullanan XHTML evrakları içeriyordu. Bu belgeler, PteroSand üzere gömülü VBScript indiricilerini çalıştıran berbat emelli HTA yahut LNK belgelerini teslim ediyordu. Ekim 2024’te ESET, Gamaredon’un her zamanki taktiklerinden farklı olarak, spearphishing e-postalarının ekler yerine makus gayeli köprüler içerdiği az bir durum gözlemledi. Ayrıyeten Gamaredon yeni bir teknik daha ortaya koydu: PowerShell komutlarını direkt Cloudflare tarafından oluşturulan alan isimlerinden çalıştırmak için makûs hedefli LNK evrakları kullanmak, kimi klâsik tespit sistemlerini atlamak. Gamaredon’un araç seti birkaç kıymetli güncelleme geçirdi. Daha az sayıda yeni araç tanıtılmış olsa da mevcut araçların güncellenmesi ve uygunlaştırılması için değerli kaynaklar harcanmıştır. Yeni araçlar öncelikle saklılık, kalıcılık ve yanal hareket için tasarlandı. Mevcut araçlar ise gelişmiş gizleme, uygunlaştırılmış zımnilik taktikleri ve yanal hareket ve bilgi sızıntısı için sofistike teknikler de dâhil olmak üzere büyük güncellemeler aldı.
Gamaredon’un faaliyetlerini izleyen ESET araştırmacısı Zoltán Rusnák şu açıklamayı yaptı :”Özellikle ilgi cazip bir bulgu, Temmuz 2024’te Gamaredon indiricileri tarafından teslim edilen eşsiz bir isim hoc VBScript yükünün keşfedilmesiydi. Bu yükün casusluk fonksiyonu yoktu; bunun yerine tek hedefi, Odessa bölgesini maksat alan Rusya yanlısı bildiriler yayan Guardians of Odessa isimli bir Telegram propaganda kanalını otomatik olarak açmaktı.
Ayrıca 2024 yılı boyunca Gamaredon ağ tabanlı savunmalardan kaçma konusunda ısrarlı bir kararlılık göstermiştir. Küme, daha düşük bir ölçekte de olsa süratli akan DNS tekniklerinden yararlanmaya devam etti ve tesir alanlarının gerisindeki IP adreslerini sık sık değiştirdi. Gamaredon, C&C altyapısını gizlemek ve dinamik olarak dağıtmak için Telegram, Telegraph, Codeberg, Dropbox ve Cloudflare tünelleri üzere üçüncü taraf hizmetlerine giderek daha fazla bel bağladı.Rusnák “Gözlemlenebilir kapasite sınırlamalarına ve eski araçları terk etmesine karşın Gamaredon daima yenilikçiliği, agresif spearphishing kampanyaları ve tespitlerden kaçmak için ısrarlı uğraşları nedeniyle kıymetli bir tehdit aktörü olmaya devam ediyor. Rusya’nın Ukrayna’ya karşı savaşı devam ettiği sürece, Gamaredon’un da taktiklerini geliştirmeye devam edeceğini ve Ukrayna kurumlarına karşı siber casusluk operasyonlarını ağırlaştıracağını varsayım ediyoruz” diye ekledi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
