Siber güvenlik şirketi ESET, Rus APT kümesi Gamaredon’un gelişmiş bir araç setiyle Ukrayna’ya karşı spearphishing kampanyaları gerçekleştirdiğini duyurdu. Yeni dağıtım metotları kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını değerli ölçüde artıran kümenin amacı, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk.
ESET Research, Gamaredon’un güncellenmiş siber casusluk araç seti, yeni saklılık odaklı teknikleri ve 2024 yılı boyunca gözlemlenen, muhakkak bireyleri, şirketleri yahut departmanları gaye alan son derece şahsileştirilmiş siber akınlar olan spearphishing operasyonları hakkında bir doküman yayımladı. Ukrayna Güvenlik Servisi (SSU) tarafından Rusya Federal Güvenlik Servisi’nin (FSB) 18. Bilgi Güvenliği Merkezi’ne atfedilen Gamaredon, en az 2013’ten beri Ukrayna devlet kurumlarını maksat alıyor. Gamaredon, 2024 yılında yalnızca Ukrayna kurumlarına saldırdı. ESET’in son araştırması, kümenin hâlâ hayli faal olduğunu, daima olarak Ukrayna’yı gaye aldığını fakat taktiklerini ve araçlarını değerli ölçüde uyarladığını gösteriyor. Kümenin maksadı, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk. Geçen yıl küme, yeni dağıtım formülleri kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını kıymetli ölçüde artırdı ve bir akın yükü sırf Rus propagandası yaymak için kullanıldı.
Gamaredon’un kimlik avı faaliyetleri 2024’ün ikinci yarısında kıymetli ölçüde ağırlaştı. Kampanyalar ekseriyetle arka arda bir ila beş gün sürdü ve e-postalar makûs maksatlı arşivler (RAR, ZIP, 7z) yahut HTML kaçakçılığı teknikleri kullanan XHTML belgeleri içeriyordu. Bu belgeler, PteroSand üzere gömülü VBScript indiricilerini çalıştıran makus gayeli HTA yahut LNK belgelerini teslim ediyordu. Ekim 2024’te ESET, Gamaredon’un her zamanki taktiklerinden farklı olarak, spearphishing e-postalarının ekler yerine berbat gayeli köprüler içerdiği ender bir durum gözlemledi. Ayrıyeten Gamaredon yeni bir teknik daha ortaya koydu: PowerShell komutlarını direkt Cloudflare tarafından oluşturulan alan isimlerinden çalıştırmak için berbat maksatlı LNK belgeleri kullanmak, kimi klâsik tespit düzeneklerini atlamak. Gamaredon’un araç seti birkaç değerli güncelleme geçirdi. Daha az sayıda yeni araç tanıtılmış olsa da mevcut araçların güncellenmesi ve uygunlaştırılması için değerli kaynaklar harcanmıştır. Yeni araçlar öncelikle zımnilik, kalıcılık ve yanal hareket için tasarlandı. Mevcut araçlar ise gelişmiş gizleme, güzelleştirilmiş saklılık taktikleri ve yanal hareket ve data sızıntısı için sofistike yollar de dâhil olmak üzere büyük güncellemeler aldı.
Gamaredon’un faaliyetlerini izleyen ESET araştırmacısı Zoltán Rusnák şu açıklamayı yaptı :”Özellikle ilgi cazibeli bir bulgu, Temmuz 2024’te Gamaredon indiricileri tarafından teslim edilen eşsiz bir isim hoc VBScript yükünün keşfedilmesiydi. Bu yükün casusluk fonksiyonu yoktu; bunun yerine tek emeli, Odessa bölgesini gaye alan Rusya yanlısı bildiriler yayan Guardians of Odessa isimli bir Telegram propaganda kanalını otomatik olarak açmaktı.
Ayrıca 2024 yılı boyunca Gamaredon ağ tabanlı savunmalardan kaçma konusunda ısrarlı bir kararlılık göstermiştir. Küme, daha düşük bir ölçekte de olsa süratli akan DNS tekniklerinden yararlanmaya devam etti ve tesir alanlarının ardındaki IP adreslerini sık sık değiştirdi. Gamaredon, C&C altyapısını gizlemek ve dinamik olarak dağıtmak için Telegram, Telegraph, Codeberg, Dropbox ve Cloudflare tünelleri üzere üçüncü taraf hizmetlerine giderek daha fazla bel bağladı.Rusnák “Gözlemlenebilir kapasite sınırlamalarına ve eski araçları terk etmesine karşın Gamaredon daima yenilikçiliği, agresif spearphishing kampanyaları ve tespitlerden kaçmak için ısrarlı uğraşları nedeniyle kıymetli bir tehdit aktörü olmaya devam ediyor. Rusya’nın Ukrayna’ya karşı savaşı devam ettiği sürece, Gamaredon’un da taktiklerini geliştirmeye devam edeceğini ve Ukrayna kurumlarına karşı siber casusluk operasyonlarını ağırlaştıracağını iddia ediyoruz” diye ekledi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
