Siber güvenlik araştırmacıları, kötü şöhretli Gamaredon tehdit grubu tarafından düzenlenen ve özellikle kritik bir WinRAR güvenlik açığından yararlanarak devlet kurumlarını hedef alan karmaşık bir kimlik avı kampanyasını ortaya çıkardı.
Saldırı, popüler dosya sıkıştırma yazılımındaki bir yol geçiş güvenlik açığı olan CVE-2025-8088’den yararlanarak, zararsız görünen PDF belgelerini açmanın ötesinde kullanıcı etkileşimi gerektirmeden kötü amaçlı yükleri sessizce dağıtan silahlı RAR arşivleri sunuyor.
Saldırı metodolojisi, Gamaredon’un taktikleri, teknikleri ve prosedürlerinde endişe verici bir evrimi ortaya koyuyor.
Tehdit aktörleri, CVE-2025-8088’i kullanarak standart güvenlik önlemlerini atlayan ve HTA (HTML Uygulaması) kötü amaçlı yazılım dosyalarını otomatik olarak doğrudan Windows Başlangıç klasörüne bırakan kötü amaçlı RAR arşivleri oluşturabilir.
Bu yol geçiş güvenlik açığı, saldırganların kurbanın sistemindeki rastgele konumlara dosya yazmasına ve beklenen çıkarma dizinini atlatmasına olanak tanır.
CVE-2025-8088’in kötüye kullanılması önemli bir tehdit vektörünü temsil ediyor çünkü WinRAR hükümet ve kurumsal ortamlarda yaygın olarak kullanılıyor.
Kurbanlar arşivde yer alan zararsız bir PDF belgesini açtıklarında, kötü amaçlı HTA dosyası sessizce Başlangıç klasörüne yerleştiriliyor ve güvenliği ihlal edilen sistemde kalıcılık sağlanıyor.
Kötü amaçlı yazılım, sistemin bir sonraki yeniden başlatılmasında otomatik olarak çalıştırılır ve saldırganlara, anında şüphe uyandırmadan, hedeflenen hükümet ağlarında ilk tutunma noktası sağlar.
WinRAR Güvenlik Açığı
Primitive Bear ve Shuckworm olarak da takip edilen Gamaredon, özellikle Doğu Avrupa’da hükümet ve kritik altyapı kuruluşlarına tutarlı bir şekilde odaklanmayı sürdürdü.
Bu son kampanya, yüksek değerli hedeflerden taviz vermek için sosyal mühendislik taktiklerini teknik istismarla birleştirerek grubun agresif hedefleme modelini sürdürüyor.
Tehdit aktörleri, genellikle resmi belgeler, politika güncellemeleri veya acil iletişimler kılığına girerek, devlet çalışanlarının ilgisini çekmek üzere tasarlanmış ikna edici kimlik avı tuzakları hazırlıyor.
Bu aldatıcı taktikler insan psikolojisini istismar ederek, güvenlik farkındalığı eğitimine rağmen mağdurların şüpheli eklentileri açma olasılığını artırıyor.
Güvenlik araştırmacıları, bu kampanyayla ilişkili üç farklı HTA kötü amaçlı yazılım örneği tespit etti. Bırakılan dosyalar, birden fazla hedefte koordineli dağıtımı gösteren ortak özellikleri paylaşır.
Analiz, bu HTA dosyalarının indiriciler veya ilk erişim araçları olarak işlev gördüğünü, ek yükleri almak veya hassas bilgileri sızdırmak için komuta ve kontrol iletişimleri kurduğunu ortaya koyuyor.
CVE-2025-8088’in kötüye kullanılması önemli bir tehdit vektörünü temsil ediyor, çünkü WinRAR hükümet ve kurumsal ortamlarda yaygın olarak kullanılıyor.
En son güvenlik yamalarını uygulamayan kuruluşlar, bu saldırı metodolojisi nedeniyle doğrudan riskle karşı karşıyadır.
Güvenlik açığının doğası, saldırganların yalnızca dosya çıkarma yoluyla kod yürütmesine olanak tanıyor ve bu durum, kullanıcıların düzenli olarak sıkıştırılmış arşivlerle uğraştığı ortamlarda onu özellikle tehlikeli hale getiriyor.
Azaltmalar
Kuruluşlar, özellikle de devlet sektörlerindekiler, WinRAR kurulumlarını CVE-2025-8088’i adresleyen en son sürüme yamamaya derhal öncelik vermelidir.
Güvenlik ekipleri, şüpheli RAR arşivlerini, özellikle de resmi belgeler içerdiğini iddia edenleri tespit etmek ve karantinaya almak için gelişmiş e-posta filtreleme kuralları uygulamalıdır.
Uç nokta algılama ve yanıt çözümleri, Başlangıç klasöründe beklenmeyen HTA dosyası oluşumunu izleyecek ve güvenlik ihlali girişimlerine karşı erken uyarı sağlayacak şekilde yapılandırılmalıdır.
Ek olarak kuruluşlar, güvenilir kaynaklardan geliyor gibi görünseler bile beklenmeyen eklerin açılmasının risklerini vurgulayarak güvenlik farkındalığı eğitimini güçlendirmelidir.
Ağ savunucuları, bu kampanyayla ilişkili risk göstergeleri açısından sistem günlüklerini incelemeli ve tespit edilen şüpheli faaliyetlere ilişkin kapsamlı araştırmalar yapmalıdır.
Gamaredon’un operasyonlarının ısrarcı doğası, bu kampanyanın münferit bir olaydan ziyade devam eden tehdit faaliyetini temsil ettiğini ve hedeflenen sektörlerde daha fazla dikkat gerektirdiğini gösteriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.