FSB Bağlantılı Gamaredon Grubu, Windows'un Gizli Veri Akışlarını Kullanarak Ukrayna'ya Sızıyor Yazılım

FSB Bağlantılı Gamaredon Grubu, Windows'un Gizli Veri Akışlarını Kullanarak Ukrayna'ya Sızıyor

Gamaredon grubu, Windows'un az bilinen NTFS Alternate Data Streams özelliğini kullanarak solucanını gizliyor ve Ukrayna ağlarında iz bırakmadan yayılı

Rusya devlet bağlantılı bir solucan, Windows'un az kullanılan bir dosya özelliği olan NTFS Alternate Data Streams (ADS) içinde bileşenlerini gizleyerek Ukrayna ağlarında neredeyse hiç iz bırakmadan yayılıyor. Sekoia'nın yeni analizine göre, bu solucan Gamaredon grubunun en son aracı. Ukrayna güvenlik servisi, bu grubu resmi olarak Rusya Federal Güvenlik Servisi'ne (FSB) bağlıyor. Gamaredon neredeyse tamamen Ukrayna'ya odaklanmış durumda; hükümet, askeri ve kritik altyapıyı hedef alarak belge çalıyor ve uzun süreli erişim sağlıyor.

Sekoia ekibi, ele geçirilen ana bilgisayarlardaki eserler ve bir ortaktan alınan 70'ten fazla örnek üzerinden Ocak 2026'da görülen ve yazılımın hazırlandığı sırada hala aktif olan bir enfeksiyon zincirini yeniden oluşturdu. Kampanya neredeyse tamamen dosyasız VBScript'e geçmiş durumda. Bu, Gamaredon'un önceki araçlarına kıyasla gizlilik açısından net bir adım yukarı. Saldırı, bir WinRAR açığı sayesinde gizli bir dosyayı hedef sisteme bırakan hileli bir xHTML dosyasıyla başlıyor. Sekoia bu ilk erişim aşamasını GammaPhish olarak izliyor.

Arşiv, WinRAR'daki bir yol geçiş açığı olan CVE-2025-8088'i kullanıyor. Google'ın tehdit analistleri bu açığı ayrıca Sandworm, Turla ve diğer Rus operatörlerle ilişkilendirmişti. Açıktan yararlanarak Windows Başlangıç klasörüne gizli bir HTA dosyası yerleştiriliyor. Bu dosya, bir sonraki oturum açmada çalışarak uzak bir sunucudan bir sonraki yükü indiriyor. Bir yem PDF dosyası ise kurbanın fark etmemesini sağlıyor.

Sekoia'ya göre, kampanyanın gizliliği GammaWorm ile netleşiyor. Solucan, modüllerini diske dosya bırakmak yerine NTFS Alternate Data Streams'te saklıyor. Bu, Windows'un yerel bir özelliği olup verilerin mevcut bir dosyanın yanında, standart dizin listelerinde görünmeden taşınmasına izin veriyor. Aktif hale geldiğinde, rutin bakım gibi görünen zamanlanmış görevler aracılığıyla kalıcılık sağlıyor ve dosya görünürlüğünü yöneten kayıt defteri ayarlarını değiştirerek çalışmasını gizliyor.

Detaylar ve Etkileri

GammaWorm daha sonra USB bellek ve ağ sürücülerine yayılıyor. Gerçek klasörleri gizleyip yerlerine, kullanıcıları tıklamaya çeken provokatif Ukraynaca dosya adları taşıyan kötü amaçlı kısayollar bırakıyor. Komuta ve kontrol (C2) için solucan, Telegram ve Cloudflare gibi meşru kamu hizmetlerinden canlı sunucu adresleri çekiyor. Bunları ölü posta kutuları (dead drops) olarak kullanıp bilgileri kayıt defterine kaydediyor. Solucan daha sonra bir arka kapı olarak sonsuza dek döngüye giriyor, operatörlerinin gönderdiği herhangi bir kodu çalıştırmaya hazır hale geliyor.

Teknik Analiz

Sekoia, enfeksiyona karşı en güvenli yanıtın tam bir temizlik olduğu konusunda uyarıyor: 'Kötü amaçlı yazılımın Dead Drop Resolver'lara (DDR) dayanması, sürekli olarak yeni yükler indirmesine olanak tanıyor. Bu da temizleme girişimlerinin genellikle geri dönüş mekanizmalarını tetikleyerek kötü amaçlı yazılımı geri getirmesi anlamına geliyor.' Kuruluşlara ayrıca WinRAR'ı 7.13 veya sonraki bir sürüme güncellemeleri öneriliyor; bu, açığı kapatıyor. Bu saldırı, Rusya'nın Ukrayna'ya yönelik siber savaşında gizliliğin ve kalıcılığın ne kadar ileri gittiğini gösteriyor.

Kaynak: infosecurity-magazine.com

Paylaş: