GreyVibe: Yapay Zeka Destekli Siber Casusluk Faaliyetleri
Siber güvenlik alanında, GreyVibe isimli bir grubun, muhtemelen Rus devletine bağlı olmakla birlikte kesin bir şekilde sınıflandırılamayan bir siber casusluk kampanyası yürüttüğü ortaya çıktı. Bu kampanya, askeri, hükümet, sivil ve iş dünyası alanlarındaki varlıklara yönelik AI destekli oltalama ve özel kötü niyetli yazılımlar kullanarak gerçekleştirilmektedir.
Saldırı Nasıl Çalışıyor?
GreyVibe, hedeflerine karşı aşağıdaki saldırı zincirlerini kullanmaktadır:
- PhantomMail: Zararlı ZIP/RAR arşivlerini Google Drive ve 4sync bağlantıları aracılığıyla ileten hedefe özel oltalama mailleri. Bu oltalamalar, Ukrayna hükümeti, acil durum, telekom ve enerji kuruluşlarını taklit eden sahte PDF’ler veya hata mesajları içermektedir.
- PhantomClick: Zoom ve LAPAS siteleri gibi görünerek, kurbanları sahte Cloudflare doğrulama istemleri aracılığıyla kendilerini enfekte eden komutları çalıştırmaya yönlendiren sahte CAPTCHA/ClickFix sayfaları.
- PrincessClub: Ukrayna temalı sahte yetişkin/dating siteleri aracılığıyla FallSpy Android kötü amaçlı yazılımı ve PhantomRelay/LegionRelay Windows kötü amaçlı yazılımını dağıtan kampanyalar. Operatörler, sahte kadın Telegram profilleri kullanarak canlı arama özellikleri eklediler.
- DroneLink: FPV dronları ve İHA’lar temalı sahte Ukrayna askeri yardım siteleri, PrincessClub kampanyalarıyla ortak altyapı ve araçlar paylaşmaktadır.
- Nebo: Ukrayna askeri personelini Rus askeri terminallerine erişim sağladıkları konusunda kandırmak için tasarlanmış sahte “СПО НЕБО” Rus askeri iletişim giriş sayfaları.
Bu oltalama yöntemlerindeki çeşitlilik ve kalitenin, GreyVibe’nin AI araçları (ChatGPT, Ideogram AI ve Google Gemini) kullanarak detaylı ve gerçekçi içerikler oluşturmasından kaynaklandığı belirtiliyor.
Etkilenen Sistemler
GreyVibe, çeşitli özel kötü niyetli yazılımlar kullanmaktadır:
- LegionRelay: AI araçlarından yardım alınarak geliştirilen PowerShell tabanlı bir uzak erişim trojanıdır. Dosya hırsızlığı, ekran görüntüsü alma, tarayıcı kimlik bilgisi hırsızlığı gibi işlevleri destekler.
- PhantomRelay: Benzer şekilde, sistem parmak izi alma, dinamik script yükleme ve Windows komutlarının yürütülmesini sağlayan başka bir PowerShell RAT’tır.
- FallSpy: PrincessClub ve Nebo kampanyalarında kullanılan, istihbarat toplamak amacıyla özel olarak tasarlanmış Android kötü niyetli yazılımdır. İletişim listeleri, çağrı kayıtları, cihaz ve ağ bilgileri gibi verileri toplar.
Çözüm ve Korunma
GreyVibe’nin tehditlerine karşı savunma kurulabilir. WithSecure tarafından sağlanan zarar verici göstergeleri (IoC) kullanarak güvenlik önlemleri geliştirilebilir. Ayrıca, düzenli güncellemeler yapmak ve gereksiz portları kapatmak da önemlidir.
Sonuç
GreyVibe’nin faaliyetleri, siber güvenlik topluluğunda ciddi bir tehdit olarak ön plana çıkmaktadır. Kurumların, gerekli güncellemeleri yaparak, IoC’leri inceleyerek ve potansiyel tehditlere karşı savunma mekanizmalarını güçlendirerek proaktif bir yaklaşım benimsemesi gerekmektedir. Bütün bu tedbirler, benzer siber saldırılara karşı koruma sağlayacaktır.
