Rusya'nın Federal Güvenlik Servisi (FSB) ile bağlantılı olduğu bilinen Gamaredon siber casusluk grubu, Ukrayna ağlarına sızmak için yeni ve son derece gizli bir solucan geliştirdi. Sekoia güvenlik firmasının analizine göre, GammaWorm adı verilen bu solucan, Windows işletim sisteminin az bilinen bir özelliği olan NTFS Alternatif Veri Akışları'nı (ADS) kullanarak dosyaları gizliyor ve neredeyse hiç iz bırakmıyor. Bu yöntem, geleneksel antivirüs yazılımları ve adli bilişim araçları tarafından tespit edilmeyi zorlaştırıyor. Gamaredon, daha önce de Ukrayna'ya yönelik siber saldırılarla biliniyordu ancak bu yeni teknik, grubun gizlilik konusunda ne kadar ileri gittiğini gösteriyor.
Gamaredon, uzun süredir Ukrayna'daki hükümet kurumları, askeri birimler ve kritik altyapı tesislerini hedef alıyor. Grubun temel amacı, hassas belgeleri çalmak ve hedef sistemlerde uzun süreli erişim sağlamak. Ukrayna Güvenlik Servisi (SBU), Gamaredon'u resmi olarak Rusya'nın FSB'sine bağlamış durumda. Sekoia'nın raporu, grubun Ocak 2026'dan beri aktif olan ve halen devam eden bir kampanyasını inceliyor. Bu kampanyada, daha önce kullanılan dosya tabanlı araçların yerini tamamen dosyasız VBScript tabanlı yükler almış durumda. Bu, tespit edilmeyi daha da zorlaştıran önemli bir evrim.
Saldırı zinciri, özel olarak hazırlanmış bir xHTML dosyasıyla başlıyor. Kullanıcı bu dosyayı açtığında, GammaPhish adı verilen bu ilk aşama, hedef makineye kötü amaçlı bir RAR arşivi yerleştiriyor. Bu arşiv, WinRAR yazılımındaki bir yol atlama (path traversal) güvenlik açığı olan CVE-2025-8088'i kullanıyor. Google'ın tehdit analistleri bu açığı daha önce Sandworm, Turla ve diğer Rus operatörlerle ilişkilendirmişti. Açıktan yararlanarak, Windows Başlangıç klasörüne gizli bir HTA dosyası bırakılıyor. Bu dosya, bir sonraki oturum açışta çalışarak uzak bir sunucudan ikinci aşama yükünü indiriyor. Tüm bu işlemler olurken, kullanıcıya masum bir PDF dosyası gösterilerek şüphelenmesi engelleniyor.
Sistem Güvenliği
GammaWorm'un asıl sıra dışı özelliği, gizlenme biçiminde ortaya çıkıyor. Solucan, modüllerini diskte dosya olarak değil, NTFS Alternatif Veri Akışları'nda saklıyor. Windows'un bu doğal özelliği, verilerin normal dosya listelerinde görünmeden mevcut bir dosyanın yanında taşınmasına olanak tanıyor. Solucan etkinleştiğinde, rutin bakım işlemleri gibi görünen zamanlanmış görevler oluşturarak kalıcılık sağlıyor. Ayrıca, dosyaların görünürlüğünü kontrol eden kayıt defteri ayarlarını değiştirerek kendini gizliyor. USB sürücülere ve ağ sürücülerine yayılan solucan, gerçek klasörleri gizleyip yerlerine kışkırtıcı Ukraynaca dosya adları taşıyan kısayollar bırakıyor. Bu kısayollar, kullanıcıları tıklamaya teşvik etmek için tasarlanmış.
Komuta ve kontrol (C2) iletişimi için GammaWorm, Telegram ve Cloudflare gibi meşru kamu hizmetlerinden canlı sunucu adresleri alıyor. Bu adresleri ölü posta kutuları (dead drops) olarak kullanıyor ve bilgileri kayıt defterine kaydediyor. Solucan daha sonra bir arka kapı olarak sürekli döngüde çalışıyor ve operatörlerinin gönderdiği herhangi bir kodu çalıştırmaya hazır bekliyor. Sekoia, enfeksiyona karşı en güvenli yanıtın tam bir temizlik olduğunu belirtiyor: 'Kötü amaçlı yazılımın Ölü Posta Kutusu Çözümleyicileri'ne (DDR) dayanması, sürekli olarak yeni yükler indirmesine olanak tanır; bu da temizleme girişimlerinin çoğu zaman geri dönüş mekanizmalarının kötü amaçlı yazılımı geri getirmesiyle sonuçlandığı anlamına gelir.'
Teknik Analiz
Bu tehdide karşı kuruluşların WinRAR'ı 7.13 veya sonraki bir sürüme güncellemeleri öneriliyor. Bu güncelleme, CVE-2025-8088 açığını kapatıyor. Ayrıca, NTFS Alternatif Veri Akışları'nı tarayabilen güvenlik araçlarının kullanılması ve USB sürücülerin otomatik çalıştırma özelliğinin devre dışı bırakılması gibi temel güvenlik önlemleri de alınmalı. Gamaredon'un bu yeni solucanı, siber casusluk gruplarının giderek daha karmaşık ve gizli yöntemler kullandığını gösteriyor. Özellikle jeopolitik gerilimlerin arttığı dönemlerde, bu tür tehditlerin farkında olmak ve proaktif önlemler almak kritik önem taşıyor. Sekoia'nın raporu, tehdit istihbaratı paylaşımının ve güncel güvenlik yamalarının ne kadar hayati olduğunu bir kez daha ortaya koyuyor.
Kaynak: infosecurity-magazine.com