Giriş
Son dönemde, Gamaredon adlı Rus siber saldırı grubu, WinRAR’daki bir güvenlik açığını kullanarak çok sayıda kötü amaçlı yazılım dağıtımını artırmış durumda. Bu durum, veri hırsızlığı ve siber güvenlik tehditleri açısından ciddi bir risk oluşturuyor.
Saldırı Nasıl Çalışıyor?
Gamaredon’un saldırı serileri, CVE-2025-8088 kodlu bir yol geçişi (path traversal) açığı üzerinden gerçekleştirilmekte. Bu saldırılarda, HTML uygulama yükü olarak adlandırılan GammaPhish, kötü amaçlı Visual Basic Script (VBScript) indiricileri olan GammaLoad’u elde etmek için kullanılıyor. Ocak 2026’da Fransız siber güvenlik şirketi Sekoia tarafından gözlemlenen enfeksiyon zinciri, sistemin parmak izi çıkarma, ağ yapılandırmasını değiştirme gibi işlemleri içeriyor.
- İlk aşamada, GammaPhish kullanılarak VBScript indiricileri elde ediliyor.
- GammaLoad aracılığıyla, arka planda çalışan GammaWorm adlı bir VBScript solucanı devreye giriyor.
- Bu solucan, zamanlanmış görevler aracılığıyla kalıcılık sağlamakta ve ağ paylaşımlarındaki veya USB sürücülerindeki meşru dizinleri gizleyip, kötü amaçlı Windows kısayol (LNK) dosyalarıyla değiştirmektedir.
Etkilenen Sistemler
GammaWorm, Telegram gibi meşru platformları kullanan bir GET isteği aracılığıyla C2 sunucusunu çözüyor. Bu durum, yasal trafiğe karışarak tespit edilmeden uzun süreli casusluk operasyonları gerçekleştirmeyi sağlıyor. Ayrıca, NTFS Alternatif Veri Akışları (ADS) tekniği ile temel modüllerini gizlemektedir.
GammaLoad ile dağıtılan diğer kötü amaçlı yazılım ailesi, belirli uzantılara sahip dosyaları yakalayan ve bu dosyaları bir Amazon Web Services (AWS) S3 havuzuna veya saldırgan kontrolündeki bir sunucuya dışarı aktaran GammaSteel’dir.
Çözüm ve Korunma
Gamaredon’un bu saldırı yapısı, gelecekte farklı kötü amaçlı yazılımların dağıtımında kullanılabilecek esnek bir mimariye sahip. Kötü niyetli dosyaların dağıtımı, GammaPhish’in ilk olarak GammaLoad’u dağıtacak şekilde tasarlanmış olması nedeniyle olasıdır. Bu nedenle, sistemlerinizin aşağıdaki yönergeleri takip ederek korunması önemlidir:
- Yazılımlarınızı güncelleyin: Özellikle WinRAR ve benzeri uygulamalar için son güvenlik güncellemelerini yükleyin.
- Portları kapatın: Gereksiz portları kapatarak ağ güvenliğinizi artırın.
- Antivirüs yazılımınızı aktif tutun: Güncel tehdit veritabanlarıyla korunma sağlayın ve düzenli taramalar yapın.
- Eğitim programları düzenleyin: Personelinizi sosyal mühendislik saldırılarına karşı bilinçlendirin.
Sonuç
Gamaredon’un bu saldırı yöntemleri, sürekli olarak gelişen bir tehdit ortamında karşımıza çıkıyor. Kullanıcıların ve şirketlerin yazılımlarını güncel tutmaları, ağ güvenliğini sağlamaları ve personelin bu tür saldırılara karşı bilgilendirilmesi, siber güvenliğin sağlanmasında kritik öneme sahiptir.
