2025’in başlarında, siber güvenlik araştırmacıları Ukrayna örgütlerini hedefleyen iki Rus APT grubu arasında eşi görülmemiş bir işbirliği gözlemlediler.
Tarihsel olarak, Gamaredon hükümete ve kritik altyapıya karşı geniş mızrak aktı kampanyalarına odaklanırken, Turla sofistike implantlar kullanarak yüksek değerli siber sorumluluk alanında uzmanlaşmıştır.
Ortak operasyonları önemli bir yükselişe işaret ediyor: Gamaredon, yerleşik araç setini kullanarak ilk erişim kazanıyor, daha sonra Turla, uzun vadeli uzun vadeli varlığı korumak için gelişmiş Kazuar arka kapısını dağıtıyor.
Bu ittifak, Gamaredon’un Turla’nın modüler casus implantını özenle seçilmiş makinelere sunmak için gürültülü uzlaşma yöntemlerinden yararlanır ve FSB’nin iç siber istihbarat cihazında stratejik bir hizalama önerir.
Öncelikle kötü niyetli LNK dosyaları ve çıkarılabilir medya aracılığıyla sunulan mızrak aktı e-postaları aracılığıyla ortaya çıkan saldırı zinciri, Gamaredon’un pterografi indiricisi ile başlar.
Bir kurban sistemine girdikten sonra Pterographin, şifreli Telegra.ph kanalları aracılığıyla ek yükler alır. 27 Şubat 2025’te Pterographin, %APPDATA%\86.ps1ikinci aşamalı bir indirici olan Pteroodd, sert kodlanmış bir 3DES anahtarı kullanarak getirildi ve şifresini çözdü.
.webp)
Pteroodd daha sonra Kazuar V3’ü meşru süreçlere yan yükleyerek bellekte alıp gerçekleştirerek geleneksel savunmalardan kaçındı.
Welive-Security analistleri, bu çift aşamalı dağıtım mekanizmasının, ilk kazalardan veya uç nokta güvenlik ürünlerinin kurulumundan sonra Kazuar implantlarının yeniden başlatılmasında ve dağıtılmasında kritik olduğunu belirtti.
Gamaredon Tools ve Turla’nın arka kapısı arasındaki kesintisiz elden çıkarma, gruplar arası işbirliğinin tespiti sınırlarken etkiyi arttırdığı Rus APT taktiklerinde bir evrimi göstermektedir.
Gamaredon’un yüzlerce gürültülü müdahalesine rağmen, Turla seçici olarak Kazuar’ı sadece son derece değerli görülen makinelere kurar.
Bu hassas hedefleme, implantın maruziyetini azaltır ve adli ayak izlerini en aza indirir.
.webp)
Kazuar V3, konuşlandırıldıktan sonra, işlevselliği modülerleştirmek ve yayından kaldırma girişimlerine karşı esnekliği korumak için üç farklı rolü (ternel, köprü ve işçi) destekleyerek webokslar üzerinde şifreli komut ve kontrol kanalları oluşturur.
Enfeksiyon mekanizması derin dalış
Kazuar’ın enfeksiyon mekanizması, gelişmiş Powershell yükleyicileri ve meşru pencerelerden yararlanan yan yükleme tekniklerine odaklanmaktadır. Pteroodd, Base64 kodlu PowerShell yükünü aldıktan sonra, aşağıdakilere benzer bir komut yürütür:-
Start-Process -FilePath "C:\Program Files\SomeApp\vncutil64[.]exe" -ArgumentList "- EncodedCommand","[base64-encoded Kazuar loader]"Bu yaklaşım, arka kapıyı güvenilir bir uygulamanın bir parçası olarak maskeleyerek imzaya dayalı algılamayı önler.
Yükleyici bir DLL yazıyor LaunchGFExperienceLOC[.]dll yanında LaunchGFExperience[.]exeKazuar’ın DLL yan yükleme yoluyla lansmanını başlatma.
Bellekte, AGN-RR-01 ve AGN-XX-01 olarak etiketlenmiş iki farklı çekirdek yükü görünür, bu da implant sağlamlığını artıran gereksiz yürütme yollarını gösterir.
Kazuar aktif olduktan sonra sistem meta verilerini (bilgisayar adı, hacim seri numarası, çalışma işlemleri) toplar ve bunları Turla’nın kontrolü altındaki bir Cloudflare işçileri alt alan aracılığıyla söndürür.
Sonraki HTTP yayınları başarılı implant lansmanını onaylayın ve uyarlanabilir yüklerle köprü düğümleri sağlayın. Dinamik yükleyici komut dosyaları ve çift ücretli yükleme zincirlerinden yararlanarak Turla, bir teslimat yolu başarısız olsa veya algılansa bile sürekli erişim sağlar.
Bu enfeksiyon mekanizması, modern APT ittifaklarının karmaşıklığını vurgulamaktadır: Gamaredon’un geniş erişimini Turla’nın gizli arka kapısıyla birleştirmek, tespit riskini en aza indirirken yüksek değerli hedeflere sızabilen çok yönlü bir casusluk yeteneği sağlar.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.