Gamaredon olarak bilinen tehdit aktörünün, GammaDrop adlı kötü amaçlı yazılıma ev sahipliği yapan altyapısını gizlemek için Cloudflare Tünellerinden yararlandığı gözlemlendi.
Recorded Future’dan Insikt Group yeni bir analizde, söz konusu etkinliğin, en azından 2024’ün başlarından bu yana Ukraynalı varlıkları hedef alan ve Visual Basic Script kötü amaçlı yazılımını ortadan kaldırmak için tasarlanan hedef odaklı kimlik avı kampanyasının bir parçası olduğunu söyledi.
Siber güvenlik şirketi, Aqua Blizzard, Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 ve Winterflounder olarak da bilinen BlueAlpha adı altındaki tehdit aktörünü takip ediyor. 2014’ten bu yana aktif olduğu düşünülen grubun Rusya Federal Güvenlik Servisi’ne (FSB) bağlı olduğu belirtiliyor.
Insikt Group, “BlueAlpha yakın zamanda siber suçlu tehdit grupları tarafından kötü amaçlı yazılım dağıtmak için kullanılan giderek daha popüler bir teknik olan GammaDrop tarafından kullanılan hazırlama altyapısını gizlemek için Cloudflare Tünellerini kullanmaya başladı.” dedi.
“BlueAlpha, güvenliği ihlal edilmiş sistemlere erişimi korumak amacıyla C2 iletişimlerinin izlenmesini ve kesilmesini karmaşıklaştırmak için GammaLoad komut ve kontrol (C2) altyapısının alan adı sistemi (DNS) hızlı akışını kullanmaya devam ediyor.”
Düşmanın Cloudflare Tüneli’ni kullandığı, daha önce Slovak siber güvenlik şirketi ESET tarafından Eylül 2024’te Ukrayna’yı ve Bulgaristan, Letonya, Litvanya ve Polonya gibi çeşitli NATO ülkelerini hedef alan saldırıların bir parçası olarak belgelenmişti.
Ayrıca tehdit aktörünün ticari becerisinin pervasız olduğu ve “güvenlik ürünleri tarafından engellenmemeye ve güvenliği ihlal edilmiş sistemlere erişimi sürdürmek için çok çaba sarfetmeye” özen göstermelerine rağmen özellikle gizliliğe odaklanmadığı belirtildi.
ESET, “Gamaredon, birden fazla basit indiriciyi veya arka kapıyı aynı anda dağıtarak erişimini korumaya çalışıyor.” diye ekledi. “Gamaredon araçlarının karmaşıklığı, sık sık yapılan güncellemeler ve düzenli olarak değişen karartma kullanımıyla telafi ediliyor.”
Araçlar esas olarak internet tarayıcılarında, e-posta istemcilerinde ve Signal ve Telegram gibi anlık mesajlaşma uygulamalarında çalışan web uygulamalarından değerli verileri çalmak, ayrıca ek yükler indirmek ve bağlı USB sürücüler aracılığıyla kötü amaçlı yazılımı yaymak için tasarlandı.
- PteroPSLoad, PteroX, PteroSand, PteroDash, PteroRisk ve PteroPowder – Yükleri indirin
- PteroCDrop – Visual Basic Komut Dosyası yüklerini bırak
- PteroClone – Rclone yardımcı programını kullanarak yükleri teslim edin
- PteroLNK – Bağlı USB sürücülerini silahlandırın
- PteroDig – Kalıcılık için Masaüstü klasöründeki LNK dosyalarını silahlandırın
- PteroSocks – Kısmi SOCKS proxy işlevselliği sağlar
- PteroPShell, ReVBShell – Uzak kabuk işlevi görür
- PteroPSDoor, PteroVDoor – Belirli dosyaları dosya sisteminden çıkarın
- PteroScreen – Ekran görüntülerini yakalayın ve sızdırın
- PteroSteal – Web tarayıcıları tarafından saklanan kimlik bilgilerini sızdırın
- PteroCookie – Web tarayıcıları tarafından saklanan çerezleri sızdırın
- PteroSig – Signal uygulaması tarafından saklanan verileri sızdırın
- PteroGram – Telegram uygulaması tarafından saklanan verileri sızdırın
- PteroBleed – Telegram ve WhatsApp’ın web sürümleri tarafından saklanan verileri Google Chrome, Microsoft Edge ve Opera’dan sızdırın
- PteroScout – Sistem bilgilerini sızdır
Recorded Future tarafından vurgulanan en son saldırı dizisi, gömülü JavaScript kodu yoluyla bulaşma sürecini etkinleştirmek için HTML kaçakçılığı adı verilen bir teknikten yararlanan, HTML ekleri taşıyan kimlik avı e-postalarının gönderilmesini içeriyor.
HTML ekleri açıldığında, kötü amaçlı bir LNK dosyası içeren bir 7-Zip arşivi (“56-27-11875.rar”) bırakır; bu arşiv, diske yazmaktan sorumlu bir HTA damlatıcısı olan GammaDrop’u sunmak için mshta.exe’yi kullanır. Daha sonra ek kötü amaçlı yazılımları getirmek için bir C2 sunucusuyla bağlantı kuran GammaLoad adlı özel bir yükleyici.
GammaDrop yapıtı, amsterdam-sheet-veteran-aka.trycloudflare etki alanında barındırılan Cloudflare Tüneli’nin arkasında bulunan bir hazırlama sunucusundan alınır.[.]com.
GammaLoad, geleneksel DNS başarısız olduğunda C2 altyapısını çözmek için Google ve Cloudflare gibi DNS-over-HTTPS (DoH) sağlayıcılarından yararlanıyor. Ayrıca, sunucuyla ilk iletişim denemesi başarısız olursa C2 adresini almak için hızlı akışlı DNS tekniğini kullanır.
Recorded Future, “BlueAlpha’nın Cloudflare gibi yaygın olarak kullanılan, meşru hizmetlerden yararlanarak, geleneksel güvenlik sistemlerinin tespitini zorlaştırarak kaçırma tekniklerini geliştirmeye devam etmesi muhtemel” dedi.
“HTML kaçakçılığı ve DNS tabanlı kalıcılık konusunda devam eden iyileştirmeler, özellikle sınırlı tehdit algılama yeteneklerine sahip kuruluşlar için muhtemelen gelişen zorluklara yol açacaktır.”