FSB Bağlantılı Gamaredon Grubu, Windows Veri Akışlarında Gizlenen Solucan ile Ukrayna'ya Saldırıyor Siber Güvenlik

FSB Bağlantılı Gamaredon Grubu, Windows Veri Akışlarında Gizlenen Solucan ile Ukrayna'ya Saldırıyor

Rusya'nın FSB'sine bağlı Gamaredon grubu, Windows'un az bilinen bir özelliğini kullanarak solucanını gizliyor ve Ukrayna ağlarında dosyasız VBScript i

Rusya devletiyle bağlantılı bir solucan, Windows'un az kullanılan bir dosya özelliği içinde bileşenlerini gizleyerek Ukrayna ağlarında neredeyse hiç iz bırakmadan yayılıyor. Sekoia'nın yeni analizine göre, bu solucan Gamaredon grubunun en son aracı. Ukrayna güvenlik servisi, bu grubu resmi olarak Rusya Federal Güvenlik Servisi'ne (FSB) bağlıyor. Grup neredeyse tamamen Ukrayna'ya odaklanmış durumda; hükümet, askeri ve kritik altyapıyı hedef alarak belge çalıyor ve uzun süreli erişim sağlıyor.

Sekoia, tehlikeye atılmış ana bilgisayarlardaki eserler ve bir partnerden alınan 70'ten fazla örnek üzerinde çalışarak, Ocak 2026'da görülen ve yazı yazılırken hala aktif olan bir bulaşma zincirini yeniden oluşturdu. Kampanya neredeyse tamamen dosyasız VBScript'e geçmiş durumda; bu, Gamaredon'un önceki araçlarına kıyasla gizlilik açısından belirgin bir adım. Bulaşma, tuzaklanmış bir xHTML dosyasıyla başlıyor; açıldığında hedef makineye kötü amaçlı bir RAR arşivi bırakıyor. Sekoia bu ilk erişim aşamasını GammaPhish olarak izliyor. Arşiv, WinRAR'daki CVE-2025-8088 yol geçiş açığını kullanıyor; Google'ın tehdit analistleri bu açığı ayrıca Sandworm, Turla ve diğer Rus operatörlerle ilişkilendiriyor. Bu açığı kullanarak Windows Başlangıç klasörüne gizli bir HTA dosyası yerleştiriliyor; bu dosya bir sonraki oturum açışta çalışıyor ve uzak bir sunucudan bir sonraki yükü alıyor. Bir tuzak PDF dosyası ise kurbanı haberdar etmiyor.

Sekoia'nın açıklamasına göre, GammaWorm adlı solucan, kampanyanın gizliliğini net bir şekilde ortaya koyuyor. Solucan, dosyaları diske bırakmak yerine modüllerini NTFS Alternate Data Streams'te (ADS) saklıyor. Bu, Windows'un yerel bir özelliği olup, verilerin standart dizin listelerinde görünmeden mevcut bir dosyanın yanında taşınmasına olanak tanıyor. Solucan etkinleştiğinde, rutin bakım gibi görünen zamanlanmış görevlerle kalıcılık sağlıyor ve dosya görünürlüğünü kontrol eden kayıt defteri ayarlarını değiştirerek çalışmasını gizliyor. Ardından USB bellekler ve ağ sürücülerine yayılıyor; gerçek klasörleri gizleyip bunların yerine, kullanıcıları açmaya çekecek provokatif Ukraynaca dosya adları taşıyan kötü amaçlı kısayollar bırakıyor. Komuta ve kontrol (C2) için GammaWorm, Telegram ve Cloudflare gibi meşru kamu hizmetlerinden canlı sunucu adresleri çekiyor ve bunları ölü posta kutuları olarak kullanarak detayları kayıt defterine kaydediyor. Solucan daha sonra bir arka kapı olarak sonsuza kadar döngüye giriyor, operatörlerinin gönderdiği herhangi bir kodu çalıştırmaya hazır hale geliyor.

Sekoia, enfeksiyona karşı en güvenli yanıtın tam bir silme olduğu konusunda uyarıyor: 'Kötü amaçlı yazılımın Dead Drop Resolver'lara (DDR) dayanması, sürekli olarak yeni yükler indirmesine olanak tanıyor; bu da temizleme girişimlerinin genellikle geri dönüş mekanizmalarının kötü amaçlı yazılımı geri yüklemesiyle sonuçlandığı anlamına geliyor.' Kuruluşların ayrıca WinRAR'ı 7.13 veya daha yeni bir sürüme güncellemeleri öneriliyor; bu, açığı kapatıyor.

Paylaş: