Siber güvenlik şirketi ESET, Rus APT kümesi Gamaredon’un gelişmiş bir araç setiyle Ukrayna’ya karşı spearphishing kampanyaları gerçekleştirdiğini duyurdu. Yeni dağıtım teknikleri kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını kıymetli ölçüde artıran kümenin gayesi, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk.
ESET Research, Gamaredon’un güncellenmiş siber casusluk araç seti, yeni kapalılık odaklı teknikleri ve 2024 yılı boyunca gözlemlenen, muhakkak bireyleri, şirketleri yahut departmanları gaye alan son derece şahsileştirilmiş siber ataklar olan spearphishing operasyonları hakkında bir doküman yayımladı. Ukrayna Güvenlik Servisi (SSU) tarafından Rusya Federal Güvenlik Servisi’nin (FSB) 18. Bilgi Güvenliği Merkezi’ne atfedilen Gamaredon, en az 2013’ten beri Ukrayna devlet kurumlarını amaç alıyor. Gamaredon, 2024 yılında yalnızca Ukrayna kurumlarına saldırdı. ESET’in son araştırması, kümenin hâlâ epey faal olduğunu, daima olarak Ukrayna’yı amaç aldığını lakin taktiklerini ve araçlarını değerli ölçüde uyarladığını gösteriyor. Kümenin amacı, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk. Geçen yıl küme, yeni dağıtım yolları kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını değerli ölçüde artırdı ve bir atak yükü sadece Rus propagandası yaymak için kullanıldı.
Gamaredon’un kimlik avı faaliyetleri 2024’ün ikinci yarısında değerli ölçüde ağırlaştı. Kampanyalar çoklukla arka arda bir ila beş gün sürdü ve e-postalar makûs gayeli arşivler (RAR, ZIP, 7z) yahut HTML kaçakçılığı teknikleri kullanan XHTML evrakları içeriyordu. Bu evraklar, PteroSand üzere gömülü VBScript indiricilerini çalıştıran makus gayeli HTA yahut LNK belgelerini teslim ediyordu. Ekim 2024’te ESET, Gamaredon’un her zamanki taktiklerinden farklı olarak, spearphishing e-postalarının ekler yerine makûs hedefli köprüler içerdiği ender bir durum gözlemledi. Ayrıyeten Gamaredon yeni bir teknik daha ortaya koydu: PowerShell komutlarını direkt Cloudflare tarafından oluşturulan alan isimlerinden çalıştırmak için makûs hedefli LNK evrakları kullanmak, birtakım klasik tespit sistemlerini atlamak. Gamaredon’un araç seti birkaç değerli güncelleme geçirdi. Daha az sayıda yeni araç tanıtılmış olsa da mevcut araçların güncellenmesi ve uygunlaştırılması için kıymetli kaynaklar harcanmıştır. Yeni araçlar öncelikle saklılık, kalıcılık ve yanal hareket için tasarlandı. Mevcut araçlar ise gelişmiş gizleme, düzgünleştirilmiş kapalılık taktikleri ve yanal hareket ve data sızıntısı için sofistike metotlar de dâhil olmak üzere büyük güncellemeler aldı.
Gamaredon’un faaliyetlerini izleyen ESET araştırmacısı Zoltán Rusnák şu açıklamayı yaptı :”Özellikle ilgi cazip bir bulgu, Temmuz 2024’te Gamaredon indiricileri tarafından teslim edilen eşsiz bir isim hoc VBScript yükünün keşfedilmesiydi. Bu yükün casusluk fonksiyonu yoktu; bunun yerine tek gayesi, Odessa bölgesini amaç alan Rusya yanlısı iletiler yayan Guardians of Odessa isimli bir Telegram propaganda kanalını otomatik olarak açmaktı.
Ayrıca 2024 yılı boyunca Gamaredon ağ tabanlı savunmalardan kaçma konusunda ısrarlı bir kararlılık göstermiştir. Küme, daha düşük bir ölçekte de olsa süratli akan DNS tekniklerinden yararlanmaya devam etti ve tesir alanlarının ardındaki IP adreslerini sık sık değiştirdi. Gamaredon, C&C altyapısını gizlemek ve dinamik olarak dağıtmak için Telegram, Telegraph, Codeberg, Dropbox ve Cloudflare tünelleri üzere üçüncü taraf hizmetlerine giderek daha fazla bel bağladı.Rusnák “Gözlemlenebilir kapasite sınırlamalarına ve eski araçları terk etmesine karşın Gamaredon daima yenilikçiliği, agresif spearphishing kampanyaları ve tespitlerden kaçmak için ısrarlı uğraşları nedeniyle değerli bir tehdit aktörü olmaya devam ediyor. Rusya’nın Ukrayna’ya karşı savaşı devam ettiği sürece, Gamaredon’un da taktiklerini geliştirmeye devam edeceğini ve Ukrayna kurumlarına karşı siber casusluk operasyonlarını ağırlaştıracağını kestirim ediyoruz” diye ekledi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
