Gamaredon’un Pterolnk VBScript Kötü Yazılım Altyapısı ve TTPS Araştırmacılar tarafından ortaya çıkarıldı

Araştırmacılar, Pterodo kötü amaçlı yazılım ailesinin, özellikle Rus-Nexus Tehdit Grubu Gamaredon tarafından kullanılan Pterolnk varyantının ayrıntılarını ortaya çıkardılar.

Rusya’nın Federal Güvenlik Servisi (FSB) ile ilişkilendirildiğine inanılan grup, daha geniş jeopolitik çatışmaların bir parçası olarak hükümet, askeri ve kritik altyapı sektörlerine odaklanan Ukrayna kuruluşlarını hedefliyor.

Taktikler, Teknikler ve Prosedürler (TTPS)

Gamaredon, yürütme sırasında ek yükler oluşturan ve dağıtan Pterolnk olarak bilinen son derece gizlenmiş bir VBScript kötü amaçlı yazılım kullanır.

– Reklamcılık –

Bu komut dosyası iki ana bileşene sahiptir: her ikisi de sistemler aracılığıyla manipüle etmek ve yaymak için tasarlanmış bir indirici ve bir LNK damlası.

Benzersiz bir MD5 karma ile tanımlanan birincil komut dosyası, görevleri planlayarak ve aktivitelerini gizlemek için Windows Gezgini ayarlarını değiştirerek kalıcılık oluşturur.

Her üç dakikada bir çalışan indirici yükü, modüler, çok aşamalı bir C2 altyapısından ek kötü amaçlı yazılım alır.

Enfekte edilmiş makineyi benzersiz bir şekilde tanımlayan özel bir HTTP kullanıcı ajanı dizesi kullanır ve başlangıç ​​bağlantıları için ukr.net ve sweet.tv gibi iyi huylu web sitelerini kullanır.

Bağlantı onaylanırsa, komut dosyası Telegraph ve Teletype gibi hizmetlerde barındırılan Dead Drop çözümleyicilerinden (DDRS) komut ve kontrol (C2) adreslerini çıkarmaya devam eder.

Analiz ve altyapı

Araştırmacılar, 2024’ün sonları ile Mart 2025 ortası arasında yüklenen örnekleri analiz ederek Gamaredon’un DDR’lerine günlük güncellemeler yoluyla aktif işlemleri belirlediler.

Kötü amaçlı yazılım, anonimlik için Cloudflare hızlı tünelleri kullanır, bu da 200’e kadar eşzamanlı isteği işleyebilir ve algılamayı zorlaştırır.

Bu tüneller genellikle C2 kanallarının güncellenmesinde esneklik sunan ilk iletişim için kritik düğümler olarak hizmet veren DDR’lere işaret edilir.

Altyapı analizi, 28 Aralık 2024’ten 26 Mart 2025’e kadar DDR yaratılışının bir zaman çizelgesini ortaya çıkardı ve Gamaredon’un sürekli adaptasyonunu ve operasyonunu gösterdi.

Grubun, daha önce bilinen alan adlarını kullandığı ve hatta Cloudflare tarafından kimlik avı için işaretlenen ve stratejik ancak aşırı sofistike olmayan yaklaşımlarını vurguladığı belirtildi.

Hedeflenen sistemler, Dnipro, Rivne, Kupyansk ve Odesa’dan bazı yüklemelerle, Gamaredon’un Ukrayna hedeflerine odaklanmasıyla hizalanan bazı yüklemelerle Kiev’den kaynaklanmaktadır.

Kötü amaçlı yazılım genellikle grubun askeri operasyonlara ve personel lojistiğine taktiksel ilgisini yansıtan askeri temalı yemleri kullanır.

GameRon’a atfetme, daha önce operasyonlarıyla bağlantılı çeşitli teknik tutarlılıklar ve alan ilişkileri ile desteklenir ve bunları FSB faaliyetlerine bağlayan raporlar.

Gamaredon’un etkinliği, ileri teknik yeteneklerden değil, taktiksel uyarlamalarından kaynaklanmaktadır, agresif spearfishing, gizlenmiş kötü amaçlı yazılım dağıtım ve esnek C2 altyapısı yoluyla operasyonel etkiye odaklanmaktadır.

Kampanyaları, özellikle Ukrayna’nın karşı tarafında, askeri hedefleri destekleyen istihbarat toplama ve bozulma çabalarındaki rollerinin altını çiziyor.

Bu taktikleri anlamak, diğer tehdit aktörleri tarafından benzer teknikler benimsenebileceğinden, sadece Ukrayna’da değil, potansiyel olarak Avrupa genelinde siber güvenlik savunmaları için çok önemlidir.

Bu kapsamlı analiz, Gamaredon’un operasyonları hakkında değerli bilgiler sunarak, siber güvenlik profesyonellerine bu devam eden tehditlere karşı tespit ve azaltma stratejilerini geliştirmeleri için eyleme geçirilebilir zeka sunmaktadır.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!