Shuckworm olarak bilinen Rusya bağlantılı siber-ihale grubu (Gamaredon veya Armageddon olarak da tanımlanmıştır), Ukrayna’da bulunan bir Batı ülkesinin askeri misyonunu hedefleyen ve Gammasteel Infosteer Malware’in güncellenmiş, güç tabanlı bir versiyonunu kullanan gözlendi.
Şubat 2025’in sonlarında başlayan ve Mart ayına kadar devam eden bu kampanya, Shuckworm’un Ukrayna varlıklarına karşı sürekli odağını ifade ediyor ve artan gizli ve sofistike taktiklerinde bir evrim gösteriyor.
Rusya’nın Federal Güvenlik Servisi (FSB) adına faaliyet gösterdiğine inanılan Shuckworm, 2013 yılında ortaya çıktığından beri Ukrayna’daki hükümet, askeri ve kolluk hedeflerine yönelik çabalarını tarihsel olarak yoğunlaştırdı.
.png
)
Saldırı Metodolojisi ve Zaman Çizelgesi
Bu kampanyadaki ilk uzlaşma noktası, kötü niyetli bir LNK kısayol dosyası içeren enfekte bir çıkarılabilir USB sürücüsü gibi görünüyor (örn., files.lnk).
Windows Kayıt Defterinin KullanıcıSsist Kuşundan kanıtlar, enfeksiyonun 26 Şubat 2025’te böyle bir harici sürücüden tetiklendiğini gösteriyor.[1][7]. Kısayolun aktivasyonu, tespiti en aza indirmek için tasarlanmış karmaşık, çok aşamalı bir saldırı zinciri başlattı.
Bu zincir:
explorer.exefırlatmamshta.exeGömülü JavaScript’i yürütmek için.- Yoğun bir şekilde gizlenmiş bir VBScript’in yürütülmesi (
~.drv). - VBScript, kayıt defteri işlem dosyaları olarak gizlenmiş iki kötü amaçlı dosya oluşturma ve çalıştırma (
.regtrans-ms).
Bu dosyalardan biri, Cloudflare tünellerini kullanarak C&C IP adreslerini dinamik olarak çözmek için teletype, telgraf, telgraf ve belirli Rus alanları gibi meşru web hizmetlerinden yararlanarak komut ve kontrol (C&C) sunucularıyla iletişim kurdu.
Komut dosyası bağlantı için kontrol edildi mil.gov.ua devam etmeden önce. İkinci dosya, sistem dosyalarını gizlemek için kayıt defteri ayarlarını değiştirdi ve daha sonra diğer çıkarılabilir ağ sürücülerinde LNK kısayolları oluşturarak ilk enfeksiyon mekanizmasını yaydı.
Bu kampanyadaki dikkate değer bir değişim, Shuckworm’un özellikle sonraki aşamalarda PowerShell kullanımının artması ve VBS komut dosyalarına önceki güveninden uzaklaşmasıdır.
Bu büyük olasılıkla, PowerShell’in komut dosyalarını doğrudan Windows kayıt defterinde depolama yeteneğini geliştirmeyi ve dosya tabanlı algılamayı daha zor hale getirmeyi amaçlamaktadır.
Gammasteel Infostealer dağıtım
İlk erişim ve C&C iletişimini takiben, genellikle gözlemlenen zaman çizelgesinde 1 Mart civarında, saldırganlar keşif araçlarını ve son yükü kullandı.
İlk PowerShell betiği, ekran görüntüleri, çalışma işlemleri, güvenlik yazılımı ayrıntıları, disk bilgileri ve masaüstü dosya listeleri dahil olmak üzere sistem bilgilerini topladı ve bu verileri bir C&C sunucusuna geri gönderdi.
Daha sonra, ikinci, daha karmaşık bir PowerShell betiği – güncellenmiş Gammasteel Infostealer. Bu yük, gizlenmiş ve Windows kayıt defterinin içindeki birden fazla değere bölünmüştür.
Birincil işlevi, masaüstü, belgeler ve indirmeler gibi belirli kullanıcı dizinlerinden dosyaları numaralandırmak ve sunmaktır. Gammasteel, ortak ofis ve belge uzantılarına sahip dosyaları hedefler. .doc– .docx– .xls– .xlsx– .ppt– .pptx– .pdf– .rtf– .odtVe .txtsistemle ilgili klasörleri görmezden gelirken.
Gammasteel, veri açığa çıkma ve kaçırma için çeşitli yöntemler kullanır:
- Birincil Pessfiltrasyon: PowerShell Web isteklerini kullanır.
- Yedekleme Eksfiltrasyonu: Birincil yöntem başarısız olursa, kaynak IP adresini gizlemek için bir TOR proxy’den (SOCKS5: //127.0.0.1: 9050) yönlendirilen Curl komut satırı aracını kullanır.
- Meta Veri Kodlama: İstek parametrelerinde veya kullanıcı ajanı başlıklarında potansiyel olarak kodlanan ana bilgisayar adı ve disk seri numarası gibi sistem ayrıntılarını içerir.
- Hashing: Kullanma
certutil.exeÇalıntı dosyaların MD5 karmasını hesaplamak için potansiyel olarak günlüğe kaydetme amacıyla. - Web Hizmetleri: Potansiyel olarak kullanır
write.asEk Gizli Veri Eksfiltrasyonu için Web Hizmeti.
Kalıcılık, bir giriş ekleyerek elde edilir. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Kayıt Defteri Anahtarı.
Broadcom güvenlik araştırmacıları, shuckworm’un devlet destekli diğer bazı Rus aktörlerin ileri yeteneklerine sahip olmayabileceğini belirtiyor, bu kampanyanın sofistike olarak belirgin bir artış olduğunu gösteriyor.
Grup, sürekli, küçük kod değişiklikleri, gelişmiş gizleme ve tespitten kaçınmak için meşru araçların ve web hizmetlerinin stratejik kullanımı yoluyla algılanan beceri boşluklarını telafi eder.
Bu acımasız odak ve gelişen metodoloji, özellikle Ukrayna ile bağlantılı varlıklara, devam eden siber tehdit shuckworm pozlarının altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!