APT28’in Yeni Tehditi: Operation MacroMaze
Rusya bağlantılı devlet destekli tehdit aktörü APT28, Batı ve Orta Avrupa’daki belirli kuruluşları hedef alan yeni bir kampanya ile dikkat çekiyor. Operation MacroMaze adını taşıyan bu saldırı, siber güvenlik alanında önemli bir risk oluşturmakta ve bu nedenle güvenlik uzmanlarının dikkatini çekmektedir.
Saldırı Nasıl Çalışıyor?
Operation MacroMaze, belirli bir yapı üzerinde kurulu saldırı zincirleri kullanarak gerçekleştirilmektedir. Saldırının detayları şu şekildedir:
- Saldırılar, spear-phishing (hedefli oltalama) e-postaları ile başlamakta.
- Bu e-postalar, “INCLUDEPICTURE” adlı bir alan içeren XML yapısına dayanan tuzak belgeleri dağıtmaktadır. Bu alan, uzaktaki bir web sitesinden (webhook[.]site) bir JPG görüntüsüne işaret etmektedir.
- Belge açıldığında, bu mekanizma bir “beacon” işlevi görerek dışa doğru bir HTTP isteği tetiklemektedir.
Bu mekanizma ile sunucu operatörü, isteğin meta verilerini kaydedebilmekte ve belgenin gerçekten alıcı tarafından açıldığını doğrulayabilmektedir.
Etkilenen Sistemler
LAB52’nin tespitlerine göre, bu kampanya süresince (Eylül 2025 – Ocak 2026) birkaç belgede küçük değişikliklerle tekrarlanan makrolar kullanılmıştır. Bu makrolar, saldırganların hedef makinede bir zafiyet yaratmak için bir “dropper” işlevi görmektedir.
- Makro mantığı, her ne kadar tutarlı kalsa da, kaçınma tekniklerinde bir evrim göstermektedir.
- Eski versiyonlar ‘headless’ (görünmez) tarayıcı çalıştırmayı kullanırken, yeni versiyonlar, güvenlik uyarılarını atlatmak için tuş simülasyonu (SendKeys) kullanmaktadır.
Makro, Visual Basic Script (VBScript) çalıştırarak enfeksiyonun sonraki aşamasına geçmektedir. Bu script, bir CMD dosyası çalıştırarak kalıcılığı sağlamakta ve HTML yükünün Microsoft Edge’de görünmez modda render edilmesini sağlamaktadır.
Çözüm ve Korunma
LAB52’nin açıkladığına göre, bu kampanyanın basitliği, saldırının etkinliğini artırmaktadır. Saldırgan, çok temel araçlar (batch dosyaları, küçük VBS başlatıcıları ve basit HTML) kullanmasına rağmen, bunları dikkatle düzenleyerek sızma ve veri sızıntısı süreçlerini gizlemektedir.
Önerilen önlemler aşağıdaki gibidir:
- Güncellemeleri düzenli olarak kontrol edin: Yazılımlarınızı ve güvenlik çözümlerinizi güncel tutun.
- Güvenlik duvarını etkinleştirin: Dışa doğru gereksiz portları kapatın.
- Phishing Simülasyonları Yapın: Çalışanlarınızı potansiyel oltalama saldırılarına karşı eğitin.
Sonuç olarak, sistemlerinizin güvenliğini sağlamak için düzenli güncellemeler yapmanız, gereksiz bağlantıları kapatmanız ve kullanıcı eğitimleri gerçekleştirmeniz kritik öneme sahiptir. Cyber tehditlere karşı sürekli tetikte olmalısınız.
