Gamaredon, Ukrayna Saldırılarını Yeni Kötü Amaçlı Yazılım ve Bulut Hizmetinin Kötüye Kullanımıyla Genişletiyor Dünya Geneli

Gamaredon, Ukrayna Saldırılarını Yeni Kötü Amaçlı Yazılım ve Bulut Hizmetinin Kötüye Kullanımıyla Genişletiyor

Bir Rus gelişmiş kalıcı tehdit (APT) grubu, 2025 yılı boyunca Ukrayna'ya karşı devam eden siber saldırısının bir parçası olarak kötü amaçlı yazılım ce...

Bir Rus gelişmiş kalıcı tehdit (APT) grubu, 2025 yılı boyunca Ukrayna'ya karşı devam eden siber saldırısının bir parçası olarak kötü amaçlı yazılım cephaneliğini geliştirmeye ve genişletmeye devam etti.

Slovak siber güvenlik şirketi ESET, Gamaredon'un yeni hedeflere karşı gerçekleştirdiği 35 farklı hedef odaklı kimlik avı saldırısı gözlemlediğini ve bunların çoğunun yılın ikinci yarısında gerçekleştiğini söyledi. Bu çabaların öncelikli hedefleri arasında Ukrayna hükümet ve askeri kurumları yer alıyor.

ESET, "2025 yılı boyunca Gamaredon son derece aktif kaldı ve yalnızca Ukrayna'ya odaklanmaya devam etti." dedi. "Grubun nihai hedefi, Ukrayna'da devam eden savaşta Rusya'nın çıkarlarını desteklemek için kullanılabilecek hassas bilgilerin ve diğer kritik verilerin sızdırılması olmaya devam ediyor."

Hedef odaklı kimlik avı kampanyaları, PteroSand gibi ek yüklerin düşürülmesinden sorumlu kötü amaçlı HTA indiricileri sunmak için HTML kaçakçılığı kullanan arşiv eklerinden veya XHTML dosyalarından yararlanıyor. Saldırılardan bazıları, kötü niyetli HTA indiricisini kurbanın Windows Başlangıç ​​klasörüne yerleştirmenin bir yolu olarak WinRAR'daki (CVE-2025-8088) artık yamalanmış bir kusuru da silah haline getirdi.

Bu da indiricinin bir sonraki girişte otomatik olarak çalıştırılmasına neden olur ve böylece uzlaşma zincirine bir kalıcılık mekanizması eklenir. Gamaredon'un saldırılarının, USB sürücülere ve ağ sürücülerine, şüpheli olmayan bir kullanıcı tarafından açıldığında indirici kötü amaçlı yazılımın alınmasını tetikleyen kötü amaçlı LNK dosyaları bulaştırarak yanal hareketi kolaylaştırmak için PteroLNK ve PteroPaste gibi silahlaştırıcılara güvendiği biliniyor.

Ayrıca, ilk kez Ocak 2021'de tespit edilen ve muhtemelen üretiminin durdurulacağı varsayılan eski bir Visual Basic Komut Dosyası (VBScript) silahı olan PteroSetup da kullanılıyor. Araç, USB ve eşlenen ağ sürücülerini yasal yükleyici dosyaları için tarar ve bulunursa bunları, orijinal yükleyiciyi ve kötü amaçlı bir VBScript indiricisini içeren 7z kendiliğinden açılan (SFX) arşivlerle değiştirir.

ESET, "2025 yılında, tünel hizmetleri ve sunucusuz çalışan platformlarının, gerçek arka uç altyapısını gizleme yönteminin giderek daha önemli bir parçası haline gelmesiyle birlikte, grubun üçüncü taraf hizmetlerine olan bağımlılığı önemli ölçüde arttı." dedi.

Saldırılar ayrıca, özel kötü amaçlı yazılım cephaneliğini genişleten altı yeni kötü amaçlı PowerShell aracının tanıtılmasıyla da karakterize ediliyor:

Bellekteki PowerShell veri yüklerini almak ve yürütmek için PteroDee ve PteroCache

ve bellekteki PowerShell veri yüklerini almak ve yürütmek için PteroDum, bellekteki VBScript veri yüklerini almak ve yürütmek için

VBScript veri yüklerini bellekte almak ve yürütmek için PteroOdd, Telegra.ph API'yi kullanarak tek bir PowerShell veri yükünü almak için ve muhtemelen Gamaredon aktörlerinin Turla ile işbirliği yaptığı kampanyalarda kullanılıyor

Telegra.ph API'yi kullanarak tek bir PowerShell yükünü almak için ve muhtemelen Gamaredon aktörlerinin GoFile bulut depolama hizmetini kullanarak komuta ve kontrol (C2) sunucusunu getirmek için Turla PteroEffigy ile işbirliği yaptığı kampanyalarda kullanıldı

GoFile bulut depolama hizmeti PteroPaste'yi kullanarak komuta ve kontrol (C2) sunucusunu getirmek, USB sürücülerini silahlandırmak ve şifreli bir kanal aracılığıyla ek PowerShell yüklerini indirmek için

ESET araştırmacısı Zoltán Rusnák, "Grup Ocak 2025'te kısa bir operasyonel ara verirken, Gamaredon o yılın ilk yarısında çabalarının çoğunu yeni araçlar geliştirmeye ve dağıtmaya harcadı" dedi.

"Rusya ve Kırım'daki büyük tatiller öncesinde birçok güncelleme yapıldı. Özellikle bu tatiller sırasında veya hemen sonrasında herhangi bir güncelleme gözlemlenmedi, bu da Gamaredon operatörlerinin muhtemelen hükümete bağlı çalışanlar olduğunu öne sürüyor."

Tehdit aktörünün kampanyasının dikkat çeken bir diğer yönü, C2 sunucusunun ayrıntılarını elde etmek ve kötü amaçlı yazılımları zaten tünellerin veya sunucusuz çalışanların arkasında gizlenmiş olan altyapıya yönlendirmek için veri sızıntısı kanalları ve ölü nokta çözümleyicileri olarak geniş bir yelpazedeki meşru hizmetlerin kullanılması etrafında dönüyor. Bunlar şunları içerir:

Telegra.ph

Teletip

Rentry.co

Farklı yaz

Dropbox

GoDosyası

DEV Topluluğu (dev.to)

Mastodon

Lesma

Nopaste.net

Yapıştır.ee

Vasabi

Tebi

Intercolo

Dropbox

ESET, "Önceki yıllarda olduğu gibi, grup kötü amaçlı yazılımının göreceli basitliğini kalıcılık, sık güncellemeler ve yasal çevrimiçi hizmetlerin giderek daha yaratıcı bir şekilde kötüye kullanılmasıyla telafi etti." dedi. "Gamaredon ölü noktalar, tüneller, çalışanlar, dinamik DNS ve bulut depolama kullanımını daha da genişleterek operasyonlarını daha esnek ve kesintiye uğratılması daha zor hale getirdi."

Paylaş: