Siber güvenlik alanında dünyanın en çok takip edilen tehdit aktörlerinden biri olan Rus APT grubu Gamaredon, Ukrayna’ya yönelik siber saldırılarını hız kesmeden sürdürüyor. ESET’in güncel araştırmasına göre grup, 2024 yılı boyunca Ukrayna devlet kurumlarını hedef alan gelişmiş spearphishing (hedef odaklı kimlik avı) kampanyalarını daha karmaşık ve etkili hale getirdi.
Kimlik Avı Kampanyalarında Yeni Yöntemler
Gamaredon’un saldırıları özellikle kişiselleştirilmiş e-postalar üzerinden gerçekleştiriliyor. Saldırganlar, zararlı arşiv dosyaları (RAR, ZIP, 7z) ve HTML kaçakçılığıyla oluşturulmuş XHTML dosyaları kullanıyor. Bu dosyaların içinde, kötü amaçlı HTA veya LNK dosyalarını çalıştıran gömülü VBScript indiricileri yer alıyor. ESET, Ekim 2024’te bu gruba ait e-postalarda ek yerine zararlı bağlantıların kullanıldığını da tespit etti.
Saldırı Araçlarında Güncellemeler ve Yeni Taktikler
Gamaredon, sadece yeni araçlar geliştirmekle kalmıyor; aynı zamanda var olan casusluk yazılımlarını da daha gizli ve kalıcı hale getiriyor. PowerShell komutlarını Cloudflare gibi üçüncü taraf hizmetlerle doğrudan çalıştırmak, tespit mekanizmalarını aşmak için kullanılan yeni taktiklerden biri. Mevcut araç seti, gelişmiş gizlenme ve ağ içinde yayılma (yanal hareket) kabiliyetiyle güncellendi.
Propaganda İçin Siber Yöntemler
ESET araştırmacısı Zoltán Rusnák, Temmuz 2024’te Gamaredon’un özel olarak tasarlanmış bir VBScript yüküyle Odessa bölgesine Rusya yanlısı mesajlar yayan Telegram kanalını otomatik olarak açan bir saldırı gerçekleştirdiğini belirtti. Bu saldırının amacı klasik casusluktan çok propaganda yaymak oldu.
Tespit ve Takipten Kaçınma Stratejileri
Gamaredon grubu, siber savunmaları aşmak için sık sık IP adreslerini değiştiriyor ve hızlı akan DNS tekniklerinden yararlanıyor. C&C (komuta kontrol) altyapısını gizlemek ve saldırılarını dinamik olarak dağıtmak için Telegram, Telegraph, Codeberg, Dropbox ve Cloudflare tünelleri gibi platformları kullanıyor.
ESET’in değerlendirmesine göre, Gamaredon’un sürekli yenilenen saldırı teknikleri, agresif kimlik avı operasyonları ve tespit mekanizmalarını aşmadaki ısrarı, grubu halen önemli bir siber tehdit aktörü konumunda tutuyor. Uzmanlar, Rusya’nın Ukrayna’ya karşı yürüttüğü savaş devam ettikçe Gamaredon’un da siber saldırı yöntemlerini sürekli geliştirmesini bekliyor.
