Giriş
Rusya destekli siber tehdit grubu APT28, uzun vadeli casusluk operasyonları için özelleştirilmiş bir versiyonunu kullanmaya başladı. Özellikle, bu grup birçok önemli kurumun hedef alındığı siber saldırılarda aktif bir şekilde yer almakta.
Saldırı Nasıl Çalışıyor?
APT28, BeardShell ve Covenant adını verdikleri iki implant kullanarak Ukrayna askerleri üzerinde uzun vadeli gözetim yapıyor. Bu zararlı yazılımlar, CVE-2026-21509 güvenlik açığını kullanarak Microsoft Office üzerinde kötü niyetli DOC dosyaları aracılığıyla saldırılar gerçekleştiriyor.
- BeardShell: Güvenilir bulut depolama hizmeti Icedrive üzerinden komut ve kontrol (C2) iletişimi sağlıyor.
- Covenant: Kötü niyetli faaliyetler için temel implant olarak kullanılıyor, BearShell ise yedek olarak işlev görüyor.
Etkilenen Sistemler
Araştırmalar, APT28’in öncelikle Ukrayna’nın merkezi yürütme organlarını hedef aldığını göstermekte. Saldırılar, önceden belirlenen sistem özelliklerine bağlı olarak yürütüldü ve bulut tabanlı iletişim protokolleri ile güçlendirildi.
- SlimAgent: Klavye kayıtları yapabilen, panoya veri kopyalayabilen ve ekran görüntüsü alabilen bir implant.
- Filen: APT28’in Covenant ile birlikte kullandığı bulut sağlayıcı.
Çözüm ve Korunma
APT28’in geliştirdiği bu zararlı yazılımlar, önceden yaptığı teknolojik değişikliklerle daha sofistike hale geldi. Bu nedenle, sistemlerinizi korumak için aşağıdaki adımları takip etmelisiniz:
- Tüm yazılım ve uygulamalarınızı güncel tutun.
- Güvenlik duvarınızı kontrol edin ve gerektiğinde portları kapatın.
- Şüpheli e-posta ve dosyalara karşı dikkatli olun.
Sonuç
Siber güvenlik tehditlerine karşı alarmda kalmalı ve sistemi koruma adımlarını acilen atmalısınız. Yazılım güncellemeleri ve güvenlik önlemleri alarak, bu tür zararlı yazılımların etkisini azaltabilirsiniz.
