FSB Grubu Gamaredon, Windows Veri Akışlarında Solucanı Gizliyor Siber Güvenlik

FSB Grubu Gamaredon, Windows Veri Akışlarında Solucanı Gizliyor

Rus devletine bağlı bir solucanın, bileşenlerini az kullanılan bir Windows dosya özelliği içinde sakladığı, bu solucanın Ukrayna ağlarına yayılmasına ...

Rus devletine bağlı bir solucanın, bileşenlerini az kullanılan bir Windows dosya özelliği içinde sakladığı, bu solucanın Ukrayna ağlarına yayılmasına ve virüslü makinelerde neredeyse hiç iz bırakmamasına olanak sağladığı gözlemlendi.

Sekoia'nın yeni analizine göre solucan, Ukrayna güvenlik servisinin resmi olarak Rusya Federal Güvenlik Servisi'ne (FSB) bağladığı uzun süredir faaliyet gösteren bir casusluk grubu olan Gamaredon'un en son aracı.

Grup neredeyse tamamen Ukrayna'ya odaklanıyor ve belgeleri çalmak ve uzun vadeli erişimi sürdürmek için hükümeti, askeri ve kritik altyapıyı hedef alıyor.

Ekip, güvenliği ihlal edilmiş ana bilgisayarlardaki eserler ve bir ortaktan alınan 70'ten fazla örnek üzerinde çalışarak, Ocak 2026'da görülen ve bu yazının yazıldığı sırada hala aktif olan bir enfeksiyon zincirini yeniden oluşturdu. Kampanya neredeyse tamamen dosyasız VBScript'e geçti; bu, Gamaredon'un önceki araçlarına göre gizlilik konusunda açık bir adımdır.

WinRAR Kusuru Gizli Dosyayı Ortaya Çıkarıyor

İzinsiz giriş, açıldığında kötü amaçlı bir RAR arşivinin hedefin makinesine kaçırıldığı bubi tuzaklı bir xHTML dosyasıyla başladı. Sekoia bu ilk erişim aşamasını GammaPhish olarak takip ediyor.

Arşiv, WinRAR'da Google'ın tehdit analistlerinin ayrı ayrı Sandworm, Turla ve diğer Rus operatörlerle ilişkilendirdiği bir yol geçiş kusuru olan CVE-2025-8088'den yararlandı.

Gelecekte Ne Bekleniyor?

Hatanın kötüye kullanılması, Windows Başlangıç ​​klasörüne bir sonraki oturum açma işleminde çalıştırılan ve uzak sunucudan bir sonraki yükü getiren gizli bir HTA dosyası yerleştirdi. Sahte bir PDF, kurbanın habersiz kalmasını sağladı.

Rusya devletinin Ukrayna'ya yönelik tehditleri hakkında daha fazlasını okuyun: Rus APT Grupları, Sıfır Gün İstismarlarıyla Avrupa'daki Saldırılarını Yoğunlaştırıyor

Gizli Akışlarda Yaşayan Bir Solucan

Nasıl Önlem Alınmalı?

Sekoia, GammaWorm'un kampanyanın gizliliğinin netleştiği yer olduğunu açıkladı. Solucan, dosyaları diske bırakmak yerine, modüllerini, verilerin standart dizin listelerinde görünmeden mevcut bir dosyanın yanında taşınmasına olanak tanıyan yerel bir Windows özelliği olan NTFS Alternatif Veri Akışları'na sakladı.

Teknik Analiz

Etkinleştiğinde, rutin bakım görünümüne bürünen zamanlanmış görevler yoluyla kalıcılık sağlıyor ve dosya görünürlüğünü yöneten kayıt defteri ayarlarını değiştirerek çalışmasını gizliyordu.

Daha sonra USB belleklere ve ağ sürücülerine yayıldı, orijinal klasörleri gizledi ve kullanıcıları bu klasörleri açmaya teşvik etmek amacıyla kışkırtıcı Ukraynaca dosya adları taşıyan kötü amaçlı kısayollarla bunları değiştirdi.

Uzmanların Görüşleri

Komuta ve kontrol (C2) için GammaWorm, Telegram ve Cloudflare dahil meşru kamu hizmetlerinden canlı sunucu adreslerini aldı ve ayrıntıları kayıt defterine kaydetmeden önce bunları ölü nokta olarak kullandı. Solucan daha sonra bir arka kapı olarak süresiz olarak döngüye girdi ve operatörlerinin gönderdiği kodu çalıştırmaya hazır hale geldi.

Sekoia, enfeksiyona karşı en güvenli yanıtın tam silme olduğu konusunda uyardı: "Kötü amaçlı yazılımın Dead Drop Çözümleyicilerine (DDR) bağlı olması, sürekli olarak yeni veriler indirmesine olanak tanıyor, bu da temizleme girişimlerinin genellikle kötü amaçlı yazılımı geri yükleyen geri dönüş mekanizmalarıyla sonuçlandığı anlamına geliyor."

Kuruluşlara ayrıca WinRAR'ı 7.13 veya sonraki bir sürüme güncellemeleri istendi, bu da kusuru kapatıyor.

Paylaş: