Dijital Cephelerde Sarsılmaz Mücadele Tüm Hızıyla Sürüyor

Siber güvenlik şirketi ESET, Rusya bağlantılı Gamaredon grubunun Ukrayna’yı hedef alan gelişmiş kimlik avı saldırılarını ve casusluk faaliyetlerini sürdürdüğünü açıkladı. Son rapora göre Gamaredon, 2024 yılı boyunca Ukrayna devlet kurumlarına yönelik kişiselleştirilmiş spearphishing kampanyalarının ölçeğini ve sıklığını yeni dağıtım yöntemleriyle artırdı.

Ukrayna Güvenlik Servisi’nin Rusya Federal Güvenlik Servisi’ne (FSB) bağlı olarak tanımladığı Gamaredon, ESET’in bulgularına göre e-posta ile gönderilen kötü amaçlı dosyalar, HTML kaçakçılığı teknikleri ve zararlı bağlantılar yoluyla hedeflerine ulaşıyor. E-posta eklerinde RAR, ZIP, 7z gibi arşiv dosyaları ile HTA veya LNK dosyaları yer alırken, bazı saldırılarda ise doğrudan kötü amaçlı bağlantılar kullanıldığı tespit edildi.

Grubun araç setinde önemli güncellemeler yapılırken, yeni eklenen araçlar gizlilik, kalıcılık ve yanal hareket kabiliyetlerini artırmaya yönelik olarak geliştirildi. Mevcut araçlarda ise gelişmiş gizleme yöntemleri ve veri sızıntısını kolaylaştıran fonksiyonlar öne çıktı.

2024’te Gamaredon’un, Cloudflare üzerinden oluşturulan alan adlarıyla PowerShell komutlarını çalıştırmak gibi yeni teknikler kullandığı ve ağ tabanlı savunmaları aşmak için Telegram, Telegraph, Codeberg, Dropbox gibi üçüncü taraf servislerden yararlandığı da raporlandı.

ESET’e göre, Temmuz 2024’te gruba ait bir saldırıda, casusluk amacı taşımayan ve sadece Rusya yanlısı propaganda yaymak için kullanılan bir VBScript yükü dağıtıldı. Bu yük, Odessa bölgesini hedef alan bir Telegram kanalını otomatik olarak açıyordu.

Siber güvenlik uzmanları, Gamaredon’un agresif spearphishing faaliyetleri, sürekli teknik yenilikleri ve tespit mekanizmalarını aşma girişimleri nedeniyle Ukrayna için ciddi bir tehdit unsuru olmaya devam ettiğini belirtiyor. Grubun, Rusya’nın Ukrayna’ya yönelik siber operasyonlarını sürdürmesinin beklendiği vurgulanıyor.