SentinelLABS’ın yeni araştırmasına göre, kod adı “PhantomCaptcha” olan yakın zamanda gerçekleşen, son derece koordineli bir siber saldırı, Ukrayna’daki savaş yardım çabalarını destekleyen birçok büyük insani ve hükümet grubunu hedef aldı.
Bu siber saldırıda hedef alınan kuruluşlar arasında Uluslararası Kızılhaç, UNICEF, Norveç Mülteci Konseyi ve Donetsk ve Dnipropetrovsk gibi bölgelerdeki Ukrayna hükümet idareleri yer alıyor.
Ukrayna Dijital Güvenlik Laboratuvarı iş birliğiyle yürütülen araştırma, 8 Ekim 2025’te başlatılan akıllıca bir operasyonu ortaya koyuyor. Saldırganlar, yalnızca bir gün aktif olan bir saldırı için altyapıyı hazırlamak için altı ay harcadı.
Bu kadar hızlı kurulum ve kapatma, çok yetenekli operatörlerin tespit edilmekten kaçınmak için çok çaba harcadıklarını gösteriyor. Araştırmacılar, saldırı zincirinin Rusya’nın FSB istihbarat teşkilatına bağlı bir tehdit grubu olan COLDRIVER’ın faaliyetleriyle benzerlikler taşıdığını belirtti.
Sahte E-postalar ve Zor Bir Tuzak
Saldırı, Ukrayna Cumhurbaşkanlığı Ofisi’nden gelen ve kötü niyetli bir PDF içeren resmi görünümlü e-postalarla başladı. PDF’deki bir bağlantıya tıklamak mağdurları şuraya yönlendirdi: zoomconference.appmeşru bir Zoom sitesi olarak görünen bir alan adı. Finlandiya’da Rus sağlayıcıya ait bir sunucuda barındırılan bu alan adı, sahte bir Cloudflare captcha sayfası sunuyordu. Bu, insanları gizli bir casusluk aracı indirmeleri için kandırmaya yönelik bir tuzaktı.
Daha ayrıntılı inceleme, kullanıcılara Ukraynaca bir “belirteç” kopyalayıp gizli bir komutu yürütmek için bunu Windows Çalıştır kutusuna yapıştırmaları talimatının verildiğini ortaya çıkardı. Bazen Yapıştır ve Çalıştır veya ClickFix olarak da adlandırılan bu teknik tehlikelidir çünkü kullanıcının farkında olmadan kötü amaçlı kodu çalıştırmasına neden olur ve genellikle normal güvenlik yazılımını atlar.
Casusluk aracı, Rusya’ya bağlı altyapı üzerinde barındırılan ve saldırganlara verileri çalmak için kurbanın bilgisayarı üzerinde uzaktan kontrol verme yeteneğine sahip, çok aşamalı WebSocket tabanlı bir Uzaktan Erişim Truva Atı’dır (RAT).
Uzun Planlama, Kısa Operasyon
SentinelLABS araştırmacılarının Hackread.com ile özel olarak paylaştığı blog yazısında açıkladığı gibi, saldırganların planlaması oldukça titizdi ve “yüksek seviyede operasyonel planlama” gösteriyordu. Ana saldırı yalnızca 24 saat sürdü ve kullanıcılara yönelik web siteleri hızla kapatıldı. Ancak komuta ve kontrol (C2) sunucuları, ele geçirilen sistemlerin kontrolünü sürdürmek için aktif kaldı.
Araştırmacılar, bu tür “yüksek hedefli, kısa ömürlü” kampanyaların, yardım gruplarına yönelik siber operasyonların kalıcı olduğunu ve sürekli büyüdüğünü ve hassas bilgileri toplamayı amaçladığını belirtiyor. Hazırlık ve hızlı bir şekilde alt etme, hem saldırı hem de kaçınma tekniklerini anlayan bir operatöre işaret eder.
Araştırmacıların ayrıca sahte Android uygulamalarını içeren ayrı bir mobil kampanyaya yönelik potansiyel bir bağlantı da bulduğunu belirtmekte fayda var. Bazıları yetişkinlere yönelik eğlence (“Prenses Erkekler Kulübü” teması gibi) veya bulut depolama alanı olarak gizlenmiş ve kullanıcıların konumu, SIM kart ayrıntıları, kişiler, fotoğraflar ve yüklü uygulamaların listesi dahil olmak üzere çok çeşitli kişisel bilgileri çalmak üzere tasarlanmıştı.
Bu gibi saldırılar, yardım kuruluşlarının doğrudan hedef olduğunu gösteriyor. Personel beklenmedik mesajları kötü amaçlı olarak ele almalıdır. Bilinmeyen belirteçleri asla Çalıştır kutusuna yapıştırmayın. Bir makine tuhaf davranıyorsa, onu çevrimdışına alın ve inceletin.
Olayları ulusal CERT’nize ve ortaklarınıza bildirin, açığa çıkan tüm kimlik bilgilerini döndürün ve tam taramalar ve adli kontroller gerçekleştirin. Çok faktörlü kimlik doğrulama ve sınırlı yönetici hakları gibi temel kontrolleri sıkılaştırın. Bu adımlar birçok saldırıyı yayılmadan önce durdurur.