UAC-0099: Yeni Tehdit Unsuru
Ukrayna’nın Bilgisayar Acil Durum Yanıt Takımı (CERT-UA), UAC-0099 adı verilen bir tehdit aktörün siber saldırılar düzenlediğine dair uyarıda bulundu. Bu saldırılar, hükümet kurumlarını, savunma kuvvetlerini ve ülkenin savunma sanayisi işletmelerini hedef alıyor. UAC-0099’un, Ukrayna’ya yönelik casusluk faaliyetlerinde bulunduğu biliniyor ve en son saldırıları, phishing e-postaları kullanarak gerçekleştiriliyor.
Phishing Saldırıları ve Malware Dağıtım Yöntemleri
UAC-0099, ilk olarak 2023 Haziran ayında belgelenmiş olup, saldırıların başlangıç aşamasında phishing e-postaları kullanıyor. Bu e-postalar, alıcıları belirli bağlantılara tıklamaya ikna etmek için kullanılan mahkeme celbi gibi içeriklere sahip. Bu bağlantılar, URL kısaltma hizmetleri (örneğin, Cuttly) kullanılarak kısaltılmıştır ve alıcıları, bir HTML Uygulaması (HTA) dosyasını içeren çift arşiv dosyasına yönlendiriyor.
HTA Dosyası ve Malware Mekanizması
HTA yükü çalıştığında, obfuscate edilmiş bir Visual Basic Script dosyası başlatılıyor. Bu dosya, aynı zamanda persistans sağlamak için bir zamanlayıcı görev oluşturur. Nihayetinde, C# tabanlı bir program olan MATCHBOIL yükleyicisi devreye giriyor. MATCHBOIL, ek malware yüklemek üzere tasarlanmıştır ve bu yükler arasında güçlü yeteneklere sahip iki yazılım bulunmaktadır: MATCHWOK ve DRAGSTARE.
MATCHWOK, PowerShell komutlarını çalıştırabilen ve bu komutların sonuçlarını uzaktaki bir sunucuya iletebilen bir arka kapıdır. DRAGSTARE ise sistem bilgilerini toplayabilmekte, belirli uzantılara sahip dosyaları (“.docx”, “.doc”, “.xls”, “.txt”, “.ovpn”, “.rdp”, “.pdf”) masaüstü, Belgeler ve İndirilenler klasörlerinden alabilmektedir. Ayrıca ekran görüntüsü alabilir ve bir saldırganın kontrolündeki sunucudan gelen PowerShell komutlarını çalıştırabilir.
Gamaredon’un Saldırıları: Yeni Yöntemler ve Araçlar
Bu açıklama, ESET’in, 2024 yılında Ukrayna varlıklarına karşı Gamaredon’un gerçekleştirmiş olduğu sürekli spear-phishing saldırılarını detaylandıran raporunu yayınlamasından bir ay sonra geldi. Gamaredon’un kullandığı yeni malware aracı sayısı altı adet olarak belirlenmiştir ve bu araçlar, gizlilik, devamlılık ve yan hareket kabiliyeti için tasarlanmıştır.
Bunlar arasında, PteroDespair, PowerShell kullanarak dağıtılan mevcut malware hakkında tanılama verileri toplamaktadır. PteroTickle, Python uygulamalarını hedef alarak, sabit ve taşınabilir sürücüler üzerinde yan hareket sağlamaktadır. PteroGraphin, Microsoft Excel eklentileri ve zamanlayıcı görevler kullanarak devamlılık sağlıyor. Ayrıca, PteroStew ve PteroQuark gibi yeni bileşenler, benzer amaçlar için geliştirilmiştir.
İlerleyen Saldırılar ve Sürekli Tehditler
2024 yılının ikinci yarısında Gamaredon’un saldırılarını önemli ölçüde artırdığı gözlemlendi. Araştırmacılar, saldırıların genellikle bir ile beş gün sürdüğünü ve e-postaların içinde kötü niyetli arşiv dosyaları (RAR, ZIP, 7z) veya HTML gizleme teknikleri kullanan XHTML dosyaları barındırdığını bildirmiştir. Bu durum, kullanıcıların kötü niyetli HTA veya LNK dosyalarını çalıştırmasına neden olmaktadır.
Gamaredon’un hızlı değişim gösteren DNS teknikleri ve Telegram, Telegraph, Codeberg gibi meşru üçüncü taraf hizmetlere başvurması, komut ve kontrol (C2) altyapısını gizleme çabalarının bir parçasıdır. ESET’in raporlarına göre Gamaredon, sürekli yenilik ve saldırgan spear-phishing kampanyaları ile büyük bir tehdit oluşturmayı sürdürüyor.
Ukrayna’daki bu tür saldırılar, sadece yerel değil, uluslararası siber güvenlik politikaları açısından da önemli sonuçlar doğurabilir. Hem kurumsal hem de bireysel kullanıcılar için alarm zillerinin çaldığı bu dönemde, siber güvenlik önlemlerinin artırılması ve bilinçlenmenin sağlanması büyük önem taşıyor. Cyber tehditlerin sürekli evrildiği günümüzde, kullanıcıların ve kurumların bu tür saldırılara karşı hazırlıklı olmaları hayati bir gereklilik haline gelmiştir.
