Ukrayna’daki kuruluşlar, hassas verileri aktarmak ve ele geçirilen ağlara kalıcı erişimi sürdürmek amacıyla Rus kökenli tehdit aktörleri tarafından hedef alınıyor.
Symantec ve Karbon Siyahı Tehdit Avcısı Ekibi’nin yeni bir raporuna göre faaliyet, iki ay boyunca büyük bir ticari hizmet kuruluşunu ve bir hafta boyunca ülkedeki bir yerel hükümet kuruluşunu hedef aldı.
Saldırılar, dijital ayak izlerini azaltmak ve uzun süreler boyunca tespit edilmeden kalmak için temel olarak arazide yaşama (LotL) taktikleri ve çift kullanımlı araçlar ile minimum düzeyde kötü amaçlı yazılımdan yararlandı.
Broadcom’un sahip olduğu siber güvenlik ekipleri, The Hacker News ile paylaşılan bir raporda, “Saldırganlar, halka açık sunuculara web kabukları dağıtarak, büyük olasılıkla bir veya daha fazla yama yapılmamış güvenlik açığından yararlanarak ticari hizmetler organizasyonuna erişim sağladılar.” dedi.
Saldırıda kullanılan web kabuklarından biri, daha önce Microsoft tarafından BadPilot kod adlı çok yıllı bir kampanyanın parçası olarak Rusya bağlantılı Sandworm ekibinin bir alt grubu tarafından kullanılmak üzere işaretlenmiş olan Localolive’dı. LocalOlive, Chisel, plink ve rsockstun gibi sonraki aşamadaki yüklerin teslimini kolaylaştırmak için tasarlanmıştır. En azından 2021’in sonlarından beri kullanılmaktadır.
Ticari hizmetler organizasyonunu hedef alan kötü niyetli faaliyetlerin ilk işaretleri, saldırganların bir web kabuğunu düşürmek ve onu keşif yapmak için kullanmak için dayanaktan yararlandığı 27 Haziran 2025’e kadar uzanıyor. Tehdit aktörlerinin ayrıca makinenin Microsoft Defender Antivirüs taramalarından İndirilenleri hariç tutmak için PowerShell komutlarını çalıştırdığı ve her 30 dakikada bir bellek dökümü gerçekleştirmek üzere zamanlanmış bir görev ayarladığı da tespit edildi.
Sonraki birkaç hafta boyunca saldırganlar çeşitli eylemler gerçekleştirdiler:
- Kayıt defteri kovanının bir kopyasını 1.log adlı bir dosyaya kaydedin
- Daha fazla web kabuğu bırakıyorum
- Kullanıcı dizinindeki tüm dosyaları numaralandırmak için web kabuğunu kullanma
- Muhtemelen KeePass şifre depolama kasasını hedefleme hedefiyle “kee” ile başlayan tüm çalışan işlemleri listelemek için bir komut çalıştırma
- Tüm aktif kullanıcı oturumlarının ikinci bir makinede listelenmesi
- İndirilenler klasöründe bulunan “service.exe” ve “cloud.exe” adlı yürütülebilir dosyaları çalıştırma
- Üçüncü bir makinede keşif komutları çalıştırma ve Microsoft Windows Kaynak Sızıntısı Tanılama aracını (RDRLeakDiag) kullanarak bellek dökümü gerçekleştirme
- Kayıt defterini değiştirmek, RDP bağlantılarının gelen RDP bağlantılarına izin vermesine izin verir
- Dördüncü makinedeki Windows yapılandırmasıyla ilgili bilgileri almak için PowerShell komutunu çalıştırma
- Uzak masaüstü bağlantılarında panoya erişim sağlamak için RDPclip’i çalıştırma
- Bilgisayara uzaktan erişimi kolaylaştırmak için OpenSSH’yi yükleme
- OpenSSH sunucusu için 22 numaralı bağlantı noktasında TCP trafiğine izin vermek üzere bir PowerShell komutu çalıştırma
- Bir etki alanı hesabı kullanarak her 30 dakikada bir bilinmeyen bir PowerShell arka kapısını (link.ps1) çalıştırmak için zamanlanmış bir görev oluşturma
- Bilinmeyen bir Python betiğini çalıştırma
- İndirilenler klasöründe meşru bir MikroTik yönlendirici yönetim uygulamasını (“winbox64.exe”) dağıtma
İlginç bir şekilde “winbox64.exe”nin varlığı, Ukrayna’daki enerji, su ve ısıtma tedarikçilerini hedefleyen Kum Solucanı kampanyasıyla bağlantılı olarak Nisan 2024’te CERT-UA tarafından da belgelendi.
Symantec ve Carbon Black, izinsiz girişlerde onu Sandworm’a bağlayacak herhangi bir kanıt bulamadığını ancak bunun “Rus kökenli gibi göründüğünü” söyledi. Siber güvenlik şirketi ayrıca saldırıların, çeşitli PowerShell arka kapılarının ve kötü amaçlı yazılım olması muhtemel şüpheli yürütülebilir dosyaların konuşlandırılmasıyla karakterize edildiğini de ortaya çıkardı. Ancak bu eserlerin hiçbiri analiz için ele geçirilmedi.
Symantec ve Carbon Black, “Saldırganlar, izinsiz giriş sırasında sınırlı miktarda kötü amaçlı yazılım kullansa da, meydana gelen kötü niyetli etkinliklerin çoğu, ya Arazide Yaşayan ya da saldırganlar tarafından tanıtılan çift kullanımlı yazılımlar gibi meşru araçları içeriyordu.” dedi.
“Saldırganlar, Windows yerel araçları hakkında derinlemesine bilgi sahibi olduklarını gösterdiler ve yetenekli bir saldırganın hedeflenen ağda minimum ayak izi bırakarak saldırıyı nasıl ilerletebileceğini ve kimlik bilgileri gibi hassas bilgileri nasıl çalabileceğini gösterdi.”
Bu açıklama, Gen Threat Labs’ın Gamaredon’un WinRAR’daki yamalanmış bir güvenlik açığından (CVE-2025-8088, CVSS puanı: 8,8) yararlanarak Ukrayna devlet kurumlarına saldırması hakkında ayrıntılı bilgi vermesiyle geldi.
Şirket, X’teki bir gönderide “Saldırganlar, HTA kötü amaçlı yazılımını Başlangıç klasörüne sessizce bırakan RAR arşivleri sunmak için #CVE-2025-8088’i (WinRAR yolu geçişi) kötüye kullanıyor; içerideki zararsız PDF’yi açmanın ötesinde kullanıcı etkileşimine gerek yok” dedi. “Bu tuzaklar, kurbanları silahlı arşivleri açmaları için kandırmak ve önceki kampanyalarda görülen agresif hedefleme modelini sürdürmek için tasarlandı.”
Bulgular aynı zamanda Rus siber suç ekosisteminin, Rus hükümetinin e-suç gruplarıyla bağlarını pasif toleranstan aktif yönetime kaydıran Endgame Operasyonu gibi uluslararası kolluk kuvvetleri kampanyaları tarafından aktif olarak şekillendirildiğini tespit eden Recorded Future’ın bir raporunun ardından geldi.
Sızan sohbetlerin daha ayrıntılı analizi, bu tehdit gruplarının üst düzey isimlerinin genellikle Rus istihbarat servisleriyle ilişkiler sürdürdüğünü, veri sağladığını, görev yaptığını veya cezasızlık için rüşvet ve siyasi bağlantılardan yararlandığını ortaya çıkardı. Aynı zamanda siber suçlu ekipleri, Batılı ve ülke içi gözetimlerden kaçınmak için operasyonları merkezi olmayan bir hale getiriyor.
Rus siber suçlularının bölgede faaliyet gösteren işletmeleri veya kuruluşları hedef almadıkları sürece serbestçe faaliyet gösterebilecekleri uzun zamandır biliniyor olsa da Kremlin artık gerektiğinde yetenekleri işe almak veya dahil etmek, saldırılar kendi çıkarlarıyla örtüştüğünde görmezden gelmek ve tehdit aktörleri “siyasi açıdan sakıncalı veya dışarıdan utanç verici” hale geldiğinde yasaları seçici bir şekilde uygulamak gibi daha incelikli bir yaklaşım benimsiyor gibi görünüyor.
“Karanlık antlaşma”ya göre “karanlık antlaşma” birkaç şeyin birleşimidir: ticari bir girişim, nüfuz ve bilgi edinme aracı ve aynı zamanda iç istikrarı tehdit ettiğinde veya Batı baskısı nedeniyle bir sorumluluk.
Şirket, Dark Covenant raporunun üçüncü bölümünde, “Rus siber suçlu yeraltı örgütü, devlet kontrolü ve iç güvensizliğin çifte baskısı altında parçalanıyor; özel forum izleme ve fidye yazılımı bağlı kuruluş sohbetleri, operatörler arasında artan paranoyayı gösteriyor.” dedi.