Ülkenin Özel İletişim ve Bilgi Koruma Devlet Servisi (SSSCIP), Rus bilgisayar korsanlarının Ukrayna’ya yönelik siber saldırılarda yapay zekayı (AI) benimsemesinin 2025’in ilk yarısında (2025’in ilk yarısında) yeni bir seviyeye ulaştığını söyledi.
Ajans Çarşamba günü yayınlanan bir raporda, “Bilgisayar korsanları artık bunu yalnızca kimlik avı mesajları oluşturmak için kullanmıyor, aynı zamanda analiz ettiğimiz kötü amaçlı yazılım örneklerinden bazıları yapay zeka ile oluşturulduğuna dair açık işaretler gösteriyor ve saldırganlar kesinlikle burada durmayacaklar” dedi.
SSSCIP, 2024’ün ikinci yarısında (2024’ün 2. Yarısı) 2.575 olan bu dönemde, 3.018 siber olayın kaydedildiğini söyledi. Yerel yönetimler ve askeri kuruluşlar, 2024’ün ikinci yarısına kıyasla saldırılarda artışa tanık olurken, hükümet ve enerji sektörlerini hedef alan saldırılarda azalma görüldü.
Gözlenen dikkate değer saldırılardan biri, UAC-0219’un WRECKSTEEL adı verilen kötü amaçlı yazılımın ülkedeki devlet idare organlarına ve kritik altyapı tesislerine yönelik saldırılarda kullanılmasıydı. PowerShell veri çalan kötü amaçlı yazılımın yapay zeka araçları kullanılarak geliştirildiğini gösteren kanıtlar var.
Ukrayna’ya karşı düzenlenen diğer kampanyalardan bazıları aşağıda listelenmiştir:
- Bubi tuzaklı RAR arşivlerini kullanarak HOMESTEEL sunmak için savunma güçlerini hedef alan UAC-0218 tarafından düzenlenen kimlik avı kampanyaları
- UAC-0226 tarafından düzenlenen kimlik avı kampanyaları, GIFTEDCROOK adlı hırsızı dağıtmak için savunma sanayii sektöründeki yeniliklerin geliştirilmesinde yer alan kuruluşları, yerel yönetim kurumlarını, askeri birimleri ve kolluk kuvvetlerini hedef alıyor.
- UAC-0227 tarafından düzenlenen ve Amatera Stealer ve Strela Stealer gibi hırsızları dağıtmak için ClickFix tarzı taktiklerden veya SVG dosya eklerinden yararlanan yerel yetkilileri, kritik altyapı tesislerini ve Bölgesel İşe Alma ve Sosyal Destek Merkezlerini (TRC’ler ve SSC’ler) hedef alan kimlik avı kampanyaları
- Sandworm ile bağlantısı olan bir alt küme olan UAC-0125 tarafından düzenlenen kimlik avı kampanyaları, tehdit kaldırma programı kisvesi altında Kalambur (aka SUMBUR) adlı C# tabanlı bir arka kapı sunmak için ESET gibi görünen bir web sitesine bağlantılar içeren e-posta mesajları göndermiştir.
SSSCIP ayrıca Rusya bağlantılı APT28 (diğer adıyla UAC-0001) aktörlerinin Roundcube ve (CVE-2023-43770, CVE-2024-37383 ve CVE-2025-49113) ve Zimbra’da (CVE-2024-27443 ve CVE-2025-27915) Sıfır tıklama saldırıları gerçekleştirmek için web posta yazılımı.
SSSCIP, “Bu tür güvenlik açıklarından yararlanırken, saldırganlar genellikle Roundcube veya Zimbra API aracılığıyla kimlik bilgilerine, kişi listelerine ve tüm e-postaları saldırganın kontrolündeki posta kutularına iletmek için yapılandırılmış filtrelere erişim sağlayan kötü amaçlı kod enjekte ettiler.” dedi.
“Bu güvenlik açıklarını kullanarak kimlik bilgilerini çalmanın bir başka yöntemi, autocomplete = “on” özelliğinin ayarlandığı, kullanıcı adı ve şifre giriş alanlarıyla gizli HTML blokları (görünürlük: gizli) oluşturmaktı. Bu, alanların tarayıcıda depolanan verilerle otomatik olarak doldurulmasına ve daha sonra bu verilerin dışarı sızmasına olanak sağladı.”
Ajans ayrıca, Rusya’nın enerji, savunma, internet servis sağlayıcıları ve araştırma sektörlerindeki kuruluşları hedef alan Kum Solucanı (UAC-0002) grubuyla savaş alanındaki kinetik saldırılarla birlikte siber operasyonlarını senkronize ederek hibrit savaşa girişmeye devam ettiğini de ortaya çıkardı.
Ayrıca, Ukrayna’yı hedef alan çeşitli tehdit grupları, kötü amaçlı yazılım veya kimlik avı sayfaları barındırmak veya bunları bir veri sızıntısı kanalına dönüştürmek için Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io, Mocky.io gibi meşru hizmetleri kötüye kullanmaya başvurdu.
SSSCIP, “Meşru çevrimiçi kaynakların kötü amaçlarla kullanılması yeni bir taktik değil” dedi. “Ancak Rus bilgisayar korsanlarının kullandığı bu tür platformların sayısı son zamanlarda giderek artıyor.”