Siber güvenlik şirketi ESET, Rus APT grubu Gamaredon'un gelişmiş bir araç seti ile Ukrayna'ya karşı hedef odaklı kimlik avı kampanyaları gerçekleştirdiğini duyurdu. Yeni model yöntemleri kimlik avı kampanyalarının performansını ve ortaya çıkan önemli ölçüde artan grup hedefini kullanarak, Rusya'nın jeopolitik çıkarlarıyla uyumlu siber casusluk.
ESET Research, Gamaredon'un güncellenmiş siber casusluk araç seti, yeni Gizliliğe ayrılmış teknikler ve 2024 yılı boyunca gözlemlenen, belirli bireyler, şirketler veya departmanları hedef alan son derece kişiselleştirilmiş siber saldırılar olan spearphishing operasyonları hakkında bir belge yayımladı. Ukrayna Güvenlik Servisi (SSU) tarafından Rusya Federal Güvenlik Servisi'nin (FSB) 18. Bilgi Güvenlik Merkezi'ne atfedilen Gamaredon, en az 2013'ten beri Ukrayna devlet kurumlarını hedef alıyor. Gamaredon, 2024 yılında yalnızca Ukrayna'ya saldırdı. ESET'in son araştırmaları, grubun oldukça aktif olduğunu, sürekli olarak Ukrayna'yı hedef aldığını ancak taktiklerini ve araçlarını önemli ölçüde uyardığını gösteriyor. Grubun hedefi, Rusya'nın jeopolitik çıkarlarıyla uyumlu siber casusluktur. Geçen yıl grup, yeni sürüm yöntemlerini kullanarak kimlik avı kampanyalarının gösterimini ve kapsamlı ölçüde artırdı ve bir saldırı yükünü yalnızca Rus propagandası yaymak için kaydetti.
Gamaredon'un kimlik avı 2024'ün ikinci yarısında önemli ölçüde yoğunlaştı. Kampanyalar genellikle art arda bir ila beş gün sürdü ve e-postalar kötü amaçlı arşivler (RAR, ZIP, 7z) veya HTML kaçakçılığı teknikleri kullanan XHTML dosyalarını oluşturabilir. Bu dosyalar, PteroSand gibi gömülü VBScript indiricilerini çalıştırarak kötü amaçlı HTA veya LNK hücrelerine teslim etmektedir. Ekim 2024'te ESET, Gamaredon'un her zamanki taktiklerinden farklı olarak, hedef odaklı kimlik avı e-postalarının eklenmesi yerine kötü amaçlı köprüler elde edilebilecek nadir bir durum gözlemledi. Ayrıca Gamaredon yeni bir teknik daha ortaya koydu: PowerShell komutlarını doğrudan Cloudflare tarafından çalıştırılan alan adlarından çalıştırmak için kötü amaçlı LNK dosyaları kullanmak, bazı geleneksel tespit mekanizmalarını atlamak. Gamaredon'un aracı birkaç önemli güncellemeyi başardı. Daha az sayıda yeni araç tanıtılmış olsa da mevcut araçların güncellenmesi ve birimleri için önemli miktarda kaynak harcanmıştır. Yeni araçlar öncelikle gizlilik, kalıcılık ve yanal hareket için tasarlandı. Mevcut araçlar, gelişmiş gizlilik taktikleri ve yanal hareket ve veri sızıntıları için kırık kırılmalar da dahil olmak üzere büyük güncellemeler aldı.
Gamaredon'un faaliyetlerini izleyen ESET araştırmacısı Zoltán Rusnák şu açıklamayı yaptı :"Özellikle ilgi çekici bir bulgu, Temmuz 2024'te Gamaredon indiricileri tarafından teslim edilen kalıcı bir ad hoc VBScript tedavisinin keşfedilmesiydi.
Ayrıca 2024 yılı boyunca Gamaredon ağ tabanlı savunmalardan kaçma konusunda ısrarlı bir kararlılık sürdürüldü. Grup, daha düşük bir boyutta olsa da hızlı akan DNS tekniklerinden yararlanmaya devam etti ve etki bölümünün kesilmesi IP adreslerini sık sık değiştirdi. Gamaredon, C&C altyapısını gizlemek ve dinamik olarak dağıtmak için Telegram, Telegraph, Codeberg, Dropbox ve Cloudflare tünelleri gibi üçüncü taraf hizmetlerine giderek daha fazla bel bağlamak. Bu stratejilerin depolarının devam ettiğini ve Ukrayna'ya karşı siber casusluk operasyonlarının yoğunlaştırılacağını tahmin ettiklerini sözlerine ekledi.
Detaylı bilgi:
https://antivirus.com.tr/2024te-gamaredon-gelismis-bir-arac-setiyle-ukraynaya-karsi-spearphishing-kampanyalari-duzenlemek/
Admin
