Rusya merkezli gelişmiş kalıcı tehdit (APT) grubu, 2025 yılı boyunca Ukrayna’ya yönelik devam eden siber saldırılarının bir parçası olarak kötü amaçlı yazılım cephaneliğini geliştirmeye ve genişletmeye devam etti.
Slovak siber güvenlik şirketi ESET, Gamaredon tarafından yeni hedeflere yönelik 35 farklı hedefli kimlik avı kampanyası gözlemlediğini ve bunların çoğunun yılın ikinci yarısında gerçekleştiğini belirtti. Bu çabaların başlıca hedefleri arasında Ukrayna hükümet ve askeri kurumları yer alıyor.
ESET, “2025 boyunca Gamaredon son derece aktif kaldı ve yalnızca Ukrayna’ya odaklandı” dedi. “Grubun nihai amacı, Ukrayna’daki devam eden savaşta Rus çıkarlarını desteklemek için kullanılabilecek hassas bilgilerin ve diğer kritik verilerin sızdırılması olmaya devam ediyor.”
Hedefli kimlik avı kampanyaları, PteroSand gibi ek yükleri bırakmaktan sorumlu kötü amaçlı HTA indiricilerini iletmek için HTML kaçakçılığı kullanan arşiv ekleri veya XHTML dosyaları kullanıyor. Saldırıların bazıları, kötü amaçlı HTA indiricisini kurbanın Windows Başlangıç klasörüne yerleştirmenin bir yolu olarak, WinRAR’daki (CVE-2025-8088) artık yamalanmış bir güvenlik açığını da silah olarak kullanmıştır.
Bu da, indiricinin bir sonraki oturum açmada otomatik olarak çalıştırılmasına neden olarak, güvenlik açığı zincirine bir kalıcılık mekanizması ekler. Gamaredon’un saldırılarının, USB sürücülerini ve ağ sürücülerini kötü amaçlı LNK dosyalarıyla enfekte ederek yanal hareketi kolaylaştırmak için PteroLNK ve PteroPaste gibi silahlandırıcılara dayandığı bilinmektedir; bu dosyalar, şüphelenmeyen bir kullanıcı tarafından açıldığında, indirici kötü amaçlı yazılımın alınmasını tetikler.
Siber Güvenlik
Ayrıca, Ocak 2021’de ilk kez tespit edilen ve muhtemelen kullanım dışı bırakıldığı düşünülen eski bir Visual Basic Script (VBScript) silahlandırıcısı olan PteroSetup da kullanılmaktadır. Bu araç, USB ve eşlenmiş ağ sürücülerini yasal yükleyici dosyaları için tarar ve bulunursa, bunları orijinal yükleyiciyi ve kötü amaçlı bir VBScript indiricisini içeren 7z kendi kendine açılan (SFX) arşivlerle değiştirir.
ESET, “2025 yılında, grubun üçüncü taraf hizmetlerine olan bağımlılığı önemli ölçüde arttı; tünel hizmetleri ve sunucusuz çalışan platformları, gerçek arka uç altyapısını gizlemenin giderek daha önemli bir parçası haline geldi” dedi.
Saldırılar ayrıca, özel kötü amaçlı yazılım cephaneliğini genişleten altı yeni kötü amaçlı PowerShell aracının tanıtılmasıyla da karakterize ediliyor:
PteroDee ve PteroCache, PowerShell yüklerini belleğe indirip çalıştırmak için;
PteroDum, VBScript yüklerini belleğe indirip çalıştırmak için;
PteroOdd, Telegra.ph API’sini kullanarak tek bir PowerShell yükünü indirmek için (ve muhtemelen Gamaredon aktörlerinin Turla ile işbirliği yaptığı kampanyalarda kullanıldı); PteroEffigy, GoFile bulut depolama hizmetini kullanarak komuta ve kontrol (C2) sunucusunu indirmek için;
PteroPaste, USB sürücülerini silahlandırmak ve şifreli bir kanal aracılığıyla ek PowerShell yükleri indirmek için.
ESET araştırmacısı Zoltán Rusnák, “Grup Ocak 2025’te kısa bir operasyonel ara vermiş olsa da, Gamaredon o yılın ilk yarısında çabalarının çoğunu yeni araçlar geliştirmeye ve dağıtmaya harcadı” dedi.
“Rusya ve Kırım’daki büyük tatillerden önce birçok güncelleme yapıldı. Özellikle, bu tatiller sırasında veya hemen sonrasında hiçbir güncelleme gözlemlenmedi; bu da Gamaredon operatörlerinin muhtemelen hükümetle bağlantılı çalışanlar olduğunu daha da düşündürüyor.”
Siber Güvenlik
Tehdit aktörünün kampanyasının bir diğer dikkat çekici yönü, C2 sunucusunun ayrıntılarını elde etmek ve kötü amaçlı yazılımı tünellerin veya sunucusuz çalışanların arkasına gizlenmiş altyapıya yönlendirmek için çok çeşitli meşru hizmetleri veri sızdırma kanalları ve gizli veri noktası çözümleyicileri olarak kullanmasıdır.
