Sekoia.io’nun Tehdit Tespit ve Yanıt (TDR) ekibi, APT28 tarafından Signal Messenger’ı daha önce belgelenmemiş iki kötü amaçlı yazılım ailesi (BeartShell ve Covenant Framework) dağıtmak için sofistike bir kampanya ortaya çıkardı.
2025’in başlarında, güvenilir bir ortak, bilinen herhangi bir enfeksiyon zincirine uymayan örnekler sağladı ve ortak bir soruşturma başlattı.
21 Haziran 2025’te CERT-UA, Beardshell ve Covenant’ı APT28’e atfeten ve önceki örneklerin kimliğini doğrulayan bir rapor yayınladı.
CERT-UA’nın bulgularını analizimizle ilişkilendirerek, başka bir yerde bildirilmeyen ek kötü amaçlı ofis belgeleri ve gizli teknikler keşfettik.
APT28-Sofacy, Fancy Bear, Bluedelta, Orman Blizzard ve TAG-110 olarak da bilinir-Rusya’nın GRU 85. Ana Özel Servis Merkezi 26165 altında çalışır.
2025 boyunca, bu saldırı seti CISA ve 21 uluslararası ortakların tavsiyelerinin yanı sıra Fransa’nın Anssi’nin analizlerinde öne çıktı.
Ocak 2025’te Sekoia.io, Pottor28’e bağlı Rusya bağlantılı bir operasyon olan Orta Asya’daki diplomatik kanalları hedefleyen çifte dokunuş kampanyasını ortaya çıkardı.
Her ne kadar UAC-0063 ve APT28 arasındaki atıf geçici kalsa da, Tacikistan’da faaliyet devam etti.
Enfeksiyon zinciri teslimatı
Kampanya, özel bir sinyal görüşmesi yoluyla sunulan bir Spearphishing Lure: kötü amaçlı bir ofis belgesi ile başlar.
Borsada, gönderen bir üstünlük taklit eder ve alıcıyı eki açmaya ikna etmek için acil idari eylemleri veya yasal tehditleri çağırır.
Belge, kötü niyetli bir DLL yüklemek için kullanıcı düzeyinde bir COM kaçırma gerçekleştiren birden fazla VBA makro yerleştirir.
Yürütme üzerine, bu makrolar sistem önkoşullarını kontrol edin, iki dosya bırakın – prnfldr.dll ve windows.png – ve DLL’yi kayıt defteri manipülasyonu ve COM sunucusu olarak kaydedin ve regsvr32.exe.
Explorer.exe COM sunucusunu yüklediğinde, DLL vekilleri meşru yazıcı işlevlerini yerine getirirken, png dosyasından kabuk kodu yüklemek için yeni bir iş parçacığı oluşturur.
Geçerli PNG, gizli kabuk kodunu en az önemli bitlerde taşır. Çıkarıldıktan ve şifre çözüldükten sonra, bu kabuk kodu .NET Ortak Dil Çalışma Zamanını başlatır ve Covenant Framework’ün evreleme bileşeni olan GrunthttpStager’ı yükler.
Covenant, Koofr bulut depolama alanında API güdümlü bir C2 kanalı oluşturur ve daha fazla yük bekler.
CERT-UA, bu ilk aşamanın Beardshell’i şifresini çözen ve başlatan iki dosya-örnek-03.wav ve playsndsrv.dll-indirdiğini bildiriyor.
Bu spesifik örnekler çevremizi ortadan kaldırırken, Beardshell ayrı ayrı analiz edildi.
Şifreli PowerShell komutlarını dört saatlik aralıklarla yürüterek tüm iletişimi Icedrive Bulut Depolama Hizmeti aracılığıyla maskelendirir. C ++ DLL, Dize Obfusation için tek baytlı bir XOR şifresi ve komut yükleri için AES-CBC şifrelemesi kullanır.
Silahlı belgeler ve teknikler
Soruşturmamız, Ukrayna askeri prosedürleri (değerlendirme formları, tazminat talepleri, drone lojistik makbuzları) etrafında temalı on bir kötü amaçlı ofis belgesini, tugay düzeyinde idari personel için otantik görünmek üzere tasarladı.
Ardından, antlaşma tarafından sağlanan bir tanımlayıcı (uzlaşmış ana bilgisayarın kılavuzu) alır, dizeyi böler ve yeni bir ana dizin adını vermek için yalnızca son segmenti alır.
Yaralanma ile ilgili formların ve ekipman transfer kayıtlarının yaygınlığı, aktif çatışma bölgelerindeki askeri personelin hedeflenmesini ve ön cephe birimlerinde operasyonel zeka toplaması gerektiğini göstermektedir.
VBA makroları, API bildirimlerini ofis sürümlerine dayalı olarak uyarlar ve baskı düzenine geçiş, bayt çifti değiştirmeleri ile bozulma, .NET çerçeve varlığını doğrulama ve düşmüş dosyaları gizleme gibi gizli taktikler kullanır.
Bu katmanlı yaklaşım, hem kalıcılık hem de sanal alan tespitine karşı ek kontroller sağlar.
APT28, TTP’lerinde belirgin bir evrim gösteren gizli C2 iletişimi için açık kaynaklı antlaşma ve meşru bulut hizmetlerinden yararlanır.
Bulut tabanlı C2 köprülerinin entegrasyonu, yeni steganografik yük teslimatı ve com kaçırma ile birleştiğinde, grubun teknik sofistike olduğunu vurgulamaktadır.
Ağustos 2025’te, bu enfeksiyon zinciri, uyarlanabilirliğini teyit ederek FILEN.io’da barındırılan silahlandırılmış bir Excel belgesi ile yeniden ortaya çıktı.
Beardshell’in dağıtım mekanizması ve Slimagent Keylogger ile ana zincir arasındaki ilişki konusunda belirsizlikler devam etmektedir.
Bununla birlikte, APT28’in sertleştirilmiş araç seti, ısmarlama kötü amaçlı yazılımları açık kaynaklı çerçevelerle harmanlayan, devam eden uzun vadeli erişim ve kaçırma için bunları konumlandırıyor. Sekoia.io’nun TDR ekibi uyanık izlemeyi sürdürecek, tespitleri geliştirecek ve bu kampanyanın bir sonraki evrimine hazırlanacak.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.