Rusya bağlantılı tehdit aktörü olarak bilinen Gamaredon (AKA shuckworm), Gammasteel adlı bilinen bir kötü amaçlı yazılımın güncellenmiş bir versiyonunu sunmak amacıyla Ukrayna merkezli bir yabancı askeri görevi hedefleyen siber bir saldırıya atfedildi.
Grup, 26 Şubat 2025’te tespit edilen kötü niyetli faaliyetlerin ilk belirtileri ile Symantec Tehdit Avcısı ekibine göre bir Batı ülkesinin askeri misyonunu hedef aldı.
Broadcom’a ait Tehdit İstihbarat Bölümü, Hacker News ile paylaşılan bir raporda, “Saldırganlar tarafından kullanılan ilk enfeksiyon vektörünün enfekte bir çıkarılabilir sürüş olduğu görülüyor.” Dedi.
Saldırı, UserASsist anahtarı altında bir Windows kayıt defteri değeri oluşturulmasıyla başladı ve ardından çok aşamalı bir enfeksiyon zinciri başlatmak ve iki dosya başlatmak için “explorer.exe” kullanarak “mshta.exe” başlattı.
“Ntuser.dat.tmcontainer000000000000000001.regtrans-ms” olarak adlandırılan ilk dosya, diğerleri arasında teletype, telgraf ve telgraf gibi meşru hizmetlerle ilişkili belirli URL’lere ulaşarak elde edilen bir komut ve kontrol (C2) sunucusu ile iletişim kurmak için kullanılır.
Söz konusu ikinci dosya, “ntuser.dat.tmcontainer0000000000000002.regtrans-ms”, kötü niyetli “mshta.exe” komutunu yürütmek ve gizlemek için her klasör için kısayol dosyaları oluşturarak çıkarılabilir sürücüleri ve ağ sürücülerini enfekte etmek için tasarlanmıştır.
Daha sonra 1 Mart 2025’te komut dosyası, bir C2 sunucusuyla iletişim kurmak, sistem meta verilerini eklemek ve karşılığında, daha sonra aynı komut dosyasının şaşkın yeni bir sürümünü indirmek için tasarlanmış bir PowerShell komutunu çalıştırmak için kullanılan bir Base64 kodlu yükü almak üzere yürütüldü.
Komut dosyası, birincisi ekran görüntülerini yakalayabilen, SystemInfo komutunu çalıştırabilen, ana bilgisayarda çalışan güvenlik yazılımlarının ayrıntılarını alabilen, masrafları numaralandırabilen ve çalışma işlemlerini listeleyebilen iki PowerShell komut dosyası almak için sabit kodlu bir C2 sunucusuna bağlanır.
İkinci PowerShell komut dosyası, masaüstü ve belge klasörlerinden bir uzantı izin listesine dayanan bir kurbandan dosyaları bir kurbandan dışarı aktarabilen bilinen bir bilgi çalan Gammasteel’in geliştirilmiş bir sürümüdür.
Symantec, “Bu saldırı, diğer Rus aktörlerden daha az yetenekli görünen shuckworm için sofistike bir artışa işaret ediyor, ancak bunu Ukrayna’daki hedeflere acımasız odaklanmasıyla telafi ediyor.” Dedi.
“Grubun diğer bazı Rus gruplarıyla aynı beceri setine erişimi görünmese de, shuckworm artık kullandığı kodda sürekli olarak küçük değişiklikler yaparak, şaşkınlık ekleyerek ve meşru web hizmetlerinden yararlanarak, hepsi tespit riskini düşürerek bunu telafi etmeye çalışıyor gibi görünüyor.”