Gamaredon’un saldırıları hız kazandı: Rus APT grubu Ukrayna’ya karşı dijital savaşını derinleştiriyor
Rus APT grubu Gamaredon, 2024 boyunca Ukrayna’ya karşı gelişmiş spearphishing saldırıları düzenledi. Yeni teknikler, casusluk kadar propaganda amaçlı kullanımları da içeriyor.
Yerel Gündem 
Gamaredon’un saldırıları hız kazandı: Rus APT grubu Ukrayna’ya karşı dijital savaşını derinleştiriyor
ACİLHOST.NET / KİEV
Rusya bağlantılı siber tehdit grubu Gamaredon, gelişmiş siber casusluk araç seti ve yeni dağıtım teknikleriyle Ukrayna’ya yönelik spearphishing kampanyalarını 2024 yılı boyunca yoğunlaştırdı. ESET tarafından yayımlanan son analiz, grubun Ukrayna devlet kurumlarını hedef alan saldırılarında ölçek, hız ve sofistike düzeyin ciddi biçimde arttığını ortaya koyuyor.
Gamaredon, e-posta üzerinden kişiselleştirilmiş kimlik avı (spearphishing) kampanyaları ile hedef sistemlere sızarak, hem istihbarat topluyor hem de propaganda yapmayı hedefliyor. Grubun araç setindeki güncellemeler, özellikle gizlilik, kalıcılık ve tespit mekanizmalarından kaçış üzerine odaklanıyor.
Kimlik avı taktiklerinde çeşitlilik: HTA, LNK ve yeni PowerShell teknikleri
2024'ün ikinci yarısından itibaren Gamaredon’un spearphishing kampanyaları, tipik olarak art arda birkaç gün boyunca süren yoğun e-posta saldırıları şeklinde gerçekleşti. E-postalarda zararlı RAR, ZIP ve 7z arşiv dosyalarının yanı sıra, HTML kaçakçılığı yöntemleriyle hazırlanan XHTML dosyaları da kullanıldı. Bu içeriklerde, PteroSand gibi gömülü VBScript indiricileriyle çalışan HTA ve LNK dosyaları öne çıktı.
Ekim 2024’te gözlemlenen yeni bir teknikte ise grubun, geleneksel ek dosyalar yerine kötü amaçlı bağlantılar içeren e-postalarla saldırı gerçekleştirdiği tespit edildi. Daha da dikkat çekici olanı, PowerShell komutlarının Cloudflare destekli alan adları üzerinden çalıştırılmasıyla geleneksel güvenlik önlemlerinin aşılmasıydı.
Casusluk yerine propaganda: Guardians of Odessa vakası
Gamaredon’un klasik siber casusluk faaliyetlerine ek olarak, propaganda amaçlı saldırılar da gerçekleştirdiği bildiriliyor. ESET araştırmacısı Zoltán Rusnák’a göre, Temmuz 2024’te tespit edilen bir VBScript yükü, casusluk fonksiyonu taşımıyor, yalnızca “Guardians of Odessa” adlı Rusya yanlısı bir Telegram kanalını açmak üzere tasarlanmıştı. Bu gelişme, grubun siber silahlarını doğrudan psikolojik etki amacıyla da kullandığını gösteriyor.
Gelişmiş altyapı: Telegram, Cloudflare, Codeberg gibi platformlarla kamuflaj
Gamaredon’un kullandığı komuta-kontrol (C&C) altyapısı da dikkat çekici şekilde evrilmiş durumda. Grup, güvenlik önlemlerini aşmak ve takibi zorlaştırmak için Telegram, Telegraph, Dropbox, Codeberg ve Cloudflare tünel altyapılarını kullanıyor. Dinamik DNS ve sık IP değişimi yoluyla izini kaybettirmeye çalışan grup, ağ tabanlı savunmalardan kaçmakta kararlı davranıyor.
ESET: Gamaredon uzun vadede tehdit olmaya devam edecek
ESET araştırmacılarına göre, Gamaredon’un hâlâ aktif olması, yenilikçi tekniklere yatırım yapması ve kimlik avı kampanyalarının şiddetini artırması, onu Rusya’nın Ukrayna üzerindeki siber savaşının ön saflarındaki aktörlerden biri haline getiriyor. Rusnák, “Grup, kapasite sınırlamaları yaşasa da taktiklerini sürekli geliştiriyor ve savaş sürdükçe bu trendin devam etmesini bekliyoruz” diyerek uyarıyor.
Etiketler:
#Gamaredon #SiberGüvenlik #Ukrayna #Rusya #Spearphishing #ESET #PowerShell #DijitalCasusluk
