Ukraynalı siber güvenlik yetkilileri, kötü amaçlı yazılım dağıtımını hayır amaçlı bağış talepleri olarak gizleyen, Rusya’ya bağlı tehdit aktörleri tarafından Ukrayna savunma güçlerine karşı düzenlenen sürekli ve hedefli bir kampanyayı ortaya çıkardı.
Ekim ve Aralık 2025 arasında, Ukrayna Ulusal Siber Olaylara Müdahale Ekibi (CERT-UA) ve Silahlı Kuvvetler Siber Olaylara Müdahale Ekibi, PLUGGYAPE adı verilen Python tabanlı bir arka kapıdan yararlanan çok sayıda koordineli saldırıyı belgeledi.
Orta derecede bir güvenle Void Blizzard (aynı zamanda Laundry Bear olarak da takip edilen, UAC-0190 olarak adlandırılan) olarak bilinen tehdit aktörüne atfedilen kampanya, askeri personeli hedef alan sosyal mühendislik taktiklerinde bir evrimi temsil ediyor.
Saldırı zinciri, popüler mesajlaşma platformları üzerinden gönderilen ve hedefleri meşru hayır kurumlarının kimliğine bürünen sahte web sitelerine yönlendiren mesajlarla başlıyor.
Bu sahte siteler, kötü amaçlı yürütülebilir dosyalar içeren, genellikle parola korumalı arşivler olan belge indirmeleri sunar.
Çoğu durumda, yürütülebilir dosyanın kendisi, meşru Word belgeleriyle görsel benzerlikten yararlanarak, doğrudan bir .docx.pif dosyası olarak messenger aracılığıyla gelir.
Çift uzatma tekniği, dosyanın bir belge gibi görünmesine rağmen tıklandığında bir Windows program dosyası olarak çalıştırılmasıyla kullanıcının kafa karışıklığını ortadan kaldırır.
En az beş kampanyanın analizi, PIF dosyalarının, Python’da geliştirilen tam özellikli bir arka kapı olan PLUGGYAPE çevresinde PyInstaller tarafından derlenen yürütülebilir sarmalayıcılar olarak işlev gördüğünü ortaya çıkardı.
Kötü amaçlı yazılım, WebSocket ve MQTT protokolleri aracılığıyla komut ve kontrol iletişimi kurarak verileri JSON formatında iletiyor.
Yürütme üzerine PLUGGYAPE, yalnızca ilk 16 baytı koruyarak SHA-256’yı kullanarak MAC adresi, BIOS seri numarası, disk seri numarası ve işlemci tanımlayıcısı gibi donanım özelliklerini karma hale getirerek benzersiz bir cihaz tanımlayıcısı oluşturur.
Kötü amaçlı yazılım, Windows Run anahtarında kayıt defteri girişleri oluşturarak kalıcılık sağlıyor ve standart izleme yoluyla tespit edilmesi zor olsa da sistemin yeniden başlatılması sırasında otomatik yürütmeyi sağlıyor.
Gelişim ve Karşı Tespit Özellikleri
Ekim 2025’te saldırganlar, Python yorumlayıcısını ve ilk PLUGGYAPE varyantlarını doğrudan Pastebin depolarından getiren sürüm düşürme yükleyicileri olarak işlev gören .pdf.exe dosyalarını dağıttı.
Aralık ayına gelindiğinde tehdit aktörleri, MQTT protokolü uygulamasını ve korumalı alan ortamlarındaki analizlerden kaçınmak için tasarlanmış çoklu sanallaştırma algılama denetimlerini içeren, PLUGGYAPE.V2 olarak adlandırılan gelişmiş, karartılmış bir sürümü devreye aldı.
Özellikle, analiz edilen birkaç örnek, komut ve kontrol sunucusu adreslerini sabit kodlanmış değerler olarak değil, rentry.co ve Pastebin.com gibi hizmetlerde yayınlanan BASE64 kodlu dizeler olarak yerleştirdi ve kötü amaçlı yazılımların yeniden derlenmesine gerek kalmadan hızlı altyapı dönüşünü mümkün kıldı.
CERT-UA, tehdit ortamının hızla gelişmeye devam ettiğini vurguluyor. Saldırganlar, ilk keşif sırasında ele geçirilen meşru hesaplardan, Ukraynaca cep telefonu operatörünün telefon numaralarından ve akıcı Ukraynaca dil becerilerinden ve ayrıntılı organizasyon bilgisinden giderek daha fazla yararlanıyor.
Mobil ve kişisel bilgisayarlara yüklenen mesajlaşma uygulamaları, Ukrayna hedeflerine yönelik siber tehditlerin etkili bir şekilde birincil dağıtım vektörü haline geldi.
Kuruluşların ve bireylerin şüpheli risk göstergelerini derhal Silahlı Kuvvetlerin Siber Olay Müdahalesine bildirmeleri istenmektedir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.