Ukrayna Güvenlik Servisi (SSU) tarafından FSB’nin 18. Bilgi Güvenliği Merkezi’ne atfedilen Rusya’ya hizalanmış ileri süren bir tehdit (APT) grubu olan Gamaredon, 2024 boyunca Ukrayna hükümet kurumlarını NATO ülkelerini vurmaya yönelik önceki girişimleri terk etti.
Grubun faaliyetlerini yakından takip eden ESET araştırma raporuna göre, bu yeniden odaklama Gamaredon’un devam eden Rusya-Ukraya çatışması ortasında uzun süredir devam eden siber sorumluluk hedeflerine uyuyor.
2024’te Ukrayna’ya özel odaklanma yoğunlaşıyor
Grubun operasyonları, özellikle yılın ikinci yarısında, artış kampanyaları ölçek ve frekansta büyüyerek yoğunluk arttı.
Genellikle bir ila beş gün süren bu kampanyalar, VBScript indiricilerini yürüten HTA veya LNK dosyaları sunmak için HTML kaçakçılık tekniklerini kullanarak kötü niyetli arşivlerden (RAR, ZIP, 7Z) ve XHTML dosyalarını kullanır.
Özellikle, Ekim 2024, Gamaredon’un CloudFlare ile barındırılan alanlar aracılığıyla PowerShell komutlarını yürüterek geleneksel algılama mekanizmalarını atlayarak kötü niyetli köprü ve yenilikçi LNK dosyaları ile denemeyi gördü.
Gamaredon’un 2024’teki teknik cephaneliği, öncelikle PowerShell ve VBScript üzerine inşa edilen altı yeni kötü amaçlı yazılım aracı tanıtarak, gizli, kalıcılığı ve yanal hareketi vurgulayarak bir yenilik ve arıtma karışımını yansıtıyor.
Bunlar arasında, Mart ayında keşfedilen Pterotickle, Lateral Forma için Python uygulamalarını hedeflerken, Ağustos ayında tanımlanan Pterograf, yük teslimatı için Telegraph API’si aracılığıyla şifreli kanallar kullanıyor.
Yenilikçi araç seti evrimi
Pterobox, Kasım ayında bir bulgu, daha önceki araçları yansıtır, ancak gereksiz yüklemeleri önlemek için verileri dropbox’a titiz bir izleme ile püskürtür.
Eşzamanlı olarak, Pteropsdoor ve Pterolnk gibi mevcut araçlar, daha kapsamlı bir dosya eksfiltrasyonu ve USB algılama için gelişmiş gizleme, kayıt defteri tabanlı depolama ve WMI olay aboneliklerini içeren önemli yükseltmeler aldı.
Temmuz ayında tuhaf bir yük, casusluk işlevlerinden yoksun, bunun yerine Gamaredon’un ara sıra propaganda yayılmasına yönelik baskını ima eden bir Rus yanlısı bir telgraf kanalı açtı.
Altyapı cephesinde grup, Cloudflare tünellerinin arkasındaki komuta ve kontrol (C&C) kurulumunu neredeyse tamamen gizledi, 2023’te geleneksel alanlara güvenmeyi 2023’te 500’den yaklaşık 200’e düşürdü ve Telegram, Codeberg ve DNS-HTTPS gibi üçüncü taraf hizmetleri (DOH) (DOH) çözücüleri EVADE AVADE’lere yönlendirdi.
Hızlı akış DNS gibi teknikler, ölçeklendirilmiş olsa da ve geçici dizinlerde gömülü komut dosyalarının yeni yürütülmesi, Gamaredon’un kalıcı uyarlanabilirliğini sergileyerek otomatik algılamayı daha da karmaşıklaştırır.
Bu acımasız evrim, Ukrayna’nın agresif hedeflemesi ile birleştiğinde, Gamaredon’u müthiş bir siber sorumluluk tehdidi olarak konumlandırıyor.
Jeopolitik gerginlikler devam ettiği sürece, ESET grubun Ukraynalı kuruluşlara karşı operasyonlarını sürdürmek için taktiklerini, araçlarını ve kaçınma stratejilerini geliştirmeye devam edeceğini öngörüyor.
ESET’in en son Beyaz Makalesinde belirtildiği gibi, bu gelişmelerin ayrıntılı teknik dökümü, giderek daha karmaşık bir dijital tehditte bu tür sofistike, devlet uyumlu rakiplere karşı koymak için sağlam siber güvenlik önlemlerine acil ihtiyacın altını çiziyor.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt