Rusya bağlantılı saldırganlar, kötü amaçlı yazılım yerine ağırlıklı olarak meşru Windows araçlarına dayanan karmaşık izinsiz girişler yoluyla Ukraynalı kuruluşları hedef almayı yoğunlaştırdı.
Saldırganlar, hedeflerine ulaşırken tespit edilmekten kaçınmak için arazide yaşama taktiklerinden ve çift kullanımlı araçlardan yararlanarak, kötü amaçlı yazılım dağıtımlarında dikkate değer bir kısıtlama sergilediler.
Tehdit Avcısı Ekibimiz tarafından yakın zamanda yapılan bir araştırma, her ikisi de hassas verileri toplamayı ve kalıcı ağ erişimi kurmayı amaçlayan iki ayrı kampanyayı (büyük bir ticari hizmet kuruluşuna yönelik iki aylık bir ihlal ve bir yerel hükümet kuruluşuna yönelik bir hafta süren saldırı) ortaya çıkardı.
İzinsiz girişler, kamuya açık sunuculara web kabuklarının konuşlandırılmasıyla başladı; bu da yamalı güvenlik açıklarından yararlanıldığını gösteriyor.
Saldırganlar, Microsoft’un Rusya’nın kötü şöhretli Sandworm organizasyonunun bir alt grubu olan Seashell Blizzard ile ilişkilendirdiği bir web kabuğu olan Localolive’ı kullandı.
Sandworm’un katılımının bağımsız olarak doğrulanması beklemedeyken, saldırıların karmaşık doğası ve Rus kökenleri kampanya boyunca açıkça görülüyor. Resmi olarak Rus askeri istihbaratının (GRU) bir birimi olarak belirlenen Sandworm, kritik altyapıyı hedef alan yıkıcı operasyonlar yürütme konusunda geniş bir geçmişe sahip.
Grup, Ukrayna’daki yıkıcı elektrik şebekesi saldırıları, ağ cihazlarına karşı VPNFilter kampanyası ve Viasat uydu modemlerine yönelik acidRain saldırısıyla ün kazandı ve kendisini bugün faaliyet gösteren en tehlikeli tehdit aktörlerinden biri haline getirdi.
27 Haziran 2025’teki ilk erişimin ardından saldırganlar, sistem yapılandırmalarını ve kullanıcı ayrıcalıklarını haritalamak için keşif komutları yürüttü.
Whoami, görev listesi ve systeminfo komutları aracılığıyla sistematik olarak bilgi topladılar ve aynı anda İndirilenler klasörü için Windows Defender korumalarını devre dışı bıraktılar; bu, tespit edilmeyen araç dağıtımını mümkün kılan kritik bir adımdı.
Saldırganlar, sistem belleğinden ve kayıt defteri kovanlarından kimlik bilgisi materyalini çıkarmak için her 30 dakikada bir çalışan zamanlanmış görevler oluşturdu ve bu da kimlik bilgisi toplama konusunda metodik bir yaklaşım sergiledi.
Gelişmiş Kalıcılık
Saldırganlar, ele geçirilen ağdaki birden fazla sistemdeki operasyonlarını artırdı ve uzun vadeli erişime olanak sağlayacak kalıcı mekanizmalar oluşturdu.
Bilgisayar 2’de, özellikle KeePass şifre kasası işlemlerini hedef aldılar ve depolanan kimlik bilgilerini toplamak için tasarlanmış bellek dökümü görevlerini oluşturmadan önce işlem tanımlayıcılarını çıkardılar.
Tehdit aktörleri, 16 Temmuz’da Windows Kaynak Sızıntısı Teşhis aracını devreye aldı; bu, tespit olasılığını en aza indirmek için daha az incelenen yasal araçların kasıtlı olarak seçilmesini öneren alışılmadık bir teknikti.
Temmuz ayı sonlarında kampanya en agresif aşamasına girdi. Saldırganlar, uzaktan komut satırı erişimi için OpenSSH’yi kurdu, 22 numaralı bağlantı noktasında gelen SSH bağlantılarına izin veren güvenlik duvarı kuralları oluşturdu ve birden fazla uzaktan erişim vektörü oluşturmak için ön kimlik doğrulama olmadan RDP’yi yapılandırdı.
Her 30 dakikada bir etki alanı hesapları altında çalışan planlanmış PowerShell arka kapılarını dağıtarak esnek komut yürütme yetenekleri sağladılar.
İndirilenler klasöründe meşru bir Microtik yönlendirici yönetimi uygulamasının (winbox64.exe) bulunması, olası ağ keşif veya yanal hareket faaliyetlerine işaret ediyor; özellikle aynı dosya adı, 2024 yılındaki Sandworm operasyonlarını belgeleyen Ukrayna CERT-UA raporlarında da yer aldı.
Saldırganlar, şüpheli yürütülebilir dosyaları ve PowerShell arka kapılarını dağıtmalarına rağmen, yerel Windows yardımcı programlarına ve çift kullanımlı araçlara güvenmek yerine olağanüstü derecede hafif bir kötü amaçlı yazılım varlığını sürdürdü.
Bu yaklaşım, tam operasyonel kapasiteyi korurken güvenlik araçlarının tipik olarak tetiklediği ayırt edici yapaylıkları en aza indiren gelişmiş operatör ustalığını yansıtır.
Python komut dosyalarının, .NET çalıştırma zamanlarının ve standart yönetim yardımcı programlarının dağıtımı, gelişmiş tehdit aktörlerinin yalnızca meşru altyapıyı kullanarak nasıl kapsamlı ağ güvenliği ihlalleri gerçekleştirebileceğini göstermektedir.
İzinsiz giriş, güvenliği ihlal edilmiş en az dört bilgisayarda Ağustos ortasına kadar devam etti ve kötü amaçlı etkinliğin nihai kanıtı 20 Ağustos 2025’te belgelendi.
Bu kampanya, yetenekli saldırganların minimum düzeyde kötü amaçlı yazılım imzasıyla maksimum operasyonel etki elde ettiği, geleneksel güvenlik izleme yaklaşımları için ciddi tespit zorlukları ortaya çıkardığı, gelişen tehdit ortamına örnek teşkil ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.