Gamaredon Grubunun Yeni Solucanı Windows Veri Akışlarında Saklanıyor Siber Güvenlik

Gamaredon Grubunun Yeni Solucanı Windows Veri Akışlarında Saklanıyor

Rus FSB bağlantılı Gamaredon grubu, Windows NTFS Alternatif Veri Akışları'nda saklanan yeni bir solucanla Ukrayna ağlarına sızıyor.

Rus devlet bağlantılı bir solucan, bileşenlerini Windows'un az kullanılan bir dosya özelliği olan NTFS Alternatif Veri Akışları (ADS) içinde gizleyerek Ukrayna ağlarında neredeyse hiç iz bırakmadan yayılıyor. Sekoia'nın yeni analizine göre bu solucan, Gamaredon grubunun en son aracı. Ukrayna güvenlik servisi, Gamaredon'u resmi olarak Rusya Federal Güvenlik Servisi'ne (FSB) bağlamış durumda. Grup neredeyse tamamen Ukrayna'ya odaklanmış durumda; hükümet, askeri ve kritik altyapıyı hedef alarak belge çalıyor ve uzun süreli erişim sağlıyor.

Sekoia, tehlikeye atılmış ana bilgisayarlardaki eserler ve bir iş ortağından alınan 70'ten fazla örnek üzerinde çalışarak Ocak 2026'da görülen ve yazı sırasında hala aktif olan bir enfeksiyon zincirini yeniden oluşturdu. Kampanya neredeyse tamamen dosyasız VBScript'e geçmiş durumda; bu, Gamaredon'un önceki araçlarına kıyasla gizlilik açısından net bir adım. Saldırı, bir WinRAR açığı ile başlıyor.

Saldırı, açıldığında hedef makineye kötü amaçlı bir RAR arşivi sokan tuzaklanmış bir xHTML dosyasıyla başlıyor. Sekoia bu ilk erişim aşamasını GammaPhish olarak izliyor. Arşiv, WinRAR'daki bir yol geçiş açığı olan CVE-2025-8088'i kullanıyor. Google'ın tehdit analistleri bu açığı ayrıca Sandworm, Turla ve diğer Rus operatörlerle ilişkilendirmişti. Açıktan yararlanmak, Windows Başlangıç klasörüne gizli bir HTA dosyası yerleştiriyor; bu dosya bir sonraki girişte çalışıyor ve uzak bir sunucudan bir sonraki yükü getiriyor. Bir tuzak PDF, kurbanın fark etmemesini sağlıyor.

Nasıl Önlem Alınmalı?

GammaWorm, kampanyanın gizliliğini netleştiriyor. Sekoia'ya göre solucan, modüllerini diske dosya bırakmak yerine NTFS Alternatif Veri Akışları'nda saklıyor. Bu, Windows'un yerel bir özelliği olan ADS, verilerin mevcut bir dosyanın yanında standart dizin listelerinde görünmeden taşınmasını sağlıyor. Solucan etkinleştiğinde, rutin bakım gibi görünen zamanlanmış görevler aracılığıyla kalıcılık sağlıyor ve dosya görünürlüğünü yöneten kayıt defteri ayarlarını değiştirerek çalışmasını gizliyor.

Ardından USB bellekler ve ağ sürücülerine yayılıyor; gerçek klasörleri gizleyip yerlerine, kullanıcıları açmaya teşvik eden provokatif Ukraynaca dosya adları taşıyan kötü amaçlı kısayollar koyuyor. Komuta ve kontrol (C2) için GammaWorm, Telegram ve Cloudflare gibi meşru genel hizmetlerden canlı sunucu adresleri çekiyor, bunları ölü posta kutusu olarak kullanıyor ve ayrıntıları kayıt defterine kaydediyor. Solucan daha sonra bir arka kapı olarak sonsuza kadar döngüye giriyor, operatörlerinin gönderdiği herhangi bir kodu çalıştırmaya hazır oluyor.

Sekoia, enfeksiyona karşı en güvenli yanıtın tam bir silme işlemi olduğu konusunda uyarıyor: 'Kötü amaçlı yazılımın Ölü Posta Kutusu Çözücülerine (DDR) güvenmesi, sürekli olarak yeni yükler indirmesine olanak tanıyor; bu da temizleme girişimlerinin genellikle geri dönüş mekanizmaları tarafından kötü amaçlı yazılımın geri yüklenmesiyle sonuçlandığı anlamına geliyor.' Kuruluşlara ayrıca WinRAR'ı açığı kapatan 7.13 veya sonraki bir sürüme güncellemeleri tavsiye ediliyor.

Kaynak: infosecurity-magazine.com

Paylaş: