Rus Tehdit Grubu APT28 ve Yeni Saldırı Taktikleri
Rusya merkezli APT28 (diğer adıyla Forest Blizzard ve Pawn Storm), Ukrayna ve müttefiklerini hedef alan yeni bir oltalama kampanyasına başladı. Bu kampanya, daha önce belgelenmemiş bir kötü amaçlı yazılım seti olan PRISMEX ile ilişkilendirilmektedir.
Saldırı Nasıl Çalışıyor?
PRISMEX, gelişmiş steganografi, bileşen nesne modeli (COM) rehni ve meşru bulut hizmetlerinin kötüye kullanılması yöntemleriyle komut ve kontrol sağlamaktadır. Trend Micro araştırmacıları Feike Hacquebord ve Hiroyuki Kakara’nın belirttiği gibi, bu kampanya en azından Eylül 2025’ten beri aktif görülmektedir. Saldırılar, Ukrayna’nın merkezi yürütme organları, hidrometeoroloji, savunma ve acil hizmetler ile Polonya’daki demiryolu lojistiği, Romanya, Slovenya ve Türkiye’deki deniz ve ulaşım sektörü gibi çeşitli alanları hedef almıştır.
Etkilenen Sistemler
Bu kampanyanın dikkat çekici yanı, CVE kodları içeren yeni açıklanan zafiyetlerin (örn. CVE-2026-21509 ve CVE-2026-21513) hızlı bir şekilde silahlandırılmasıdır. Özellikle CVE-2026-21509, saldırganların hedefe ulaşmasını sağlarken, CVE-2026-21513 ise daha karmaşık bir saldırı mekanizmasını devreye sokmaktadır.
Şüpheli İki Aşamalı Saldırı Zinciri
Trend Micro, bu iki zafiyeti bir araya getirerek karmaşık bir iki aşamalı saldırı zincirine dönüştürebileceklerini öne sürmektedir. İlk zafiyet (CVE-2026-21509), kurban sistemin kötü amaçlı bir .LNK dosyasını indirmesine neden olurken, ikinci zafiyet (CVE-2026-21513) güvenlik önlemlerini bypass ederek yüklerin kullanıcı uyarısı olmaksızın çalıştırılmasını sağlamaktadır.
Kötü Amaçlı Yazılım Bileşenleri
Saldırılar sonucunda aşağıdaki kötü amaçlı yazılım bileşenleri dağıtılmaktadır:
- PrismexSheet: Kötü amaçlı bir Excel yükleyici, VBA makroları ile birlikte gelir ve dosya içindeki yükleri steganografi kullanarak çıkarır.
- PrismexDrop: Ortamı sonraki sömürü için hazırlar, zamanlanmış görevler ve COM DLL rehni kullanarak kalıcılık sağlar.
- PrismexLoader: Belirli bir dosya yapısını kullanarak bellek içinde yükleri çalıştırır.
- PrismexStager: COVENANT Grunt implantı ile bulut depolamayı kötüye kullanarak komut kontrol işlemleri gerçekleştirmektedir.
Çözüm ve Korunma
Bu tür saldırılara karşı korunmak için aşağıdaki önlemleri almanız önemlidir:
- Sistemlerinizi sürekli güncel tutun ve güvenlik güncellemelerini düzenli olarak uygulayın.
- Bilinmeyen kaynaklardan gelen e-postaları açmaktan kaçının ve güvenlik duvarı ayarlarınızı gözden geçirin.
- Şirket içi eğitimlerle çalışanlarınızı oltalama saldırıları hakkında bilgilendirin.
Sonuç
Okuyucularımızın, işletim sistemlerini ve uygulamalarını güncelleyerek, bilinen zafiyetlerden korunmaları gerektiğini vurgulamak önemlidir. Özellikle CVE-2026-21509 ve CVE-2026-21513 gibi yeni belirlenen zafiyetlere karşı dikkatli olmalı ve sürdürülebilir güncellemeler yapmalısınız. Kötü niyetli trafik ve girişimlerden etkilenmemek için tüm sistem güvenlik ayarlarınızı gözden geçirin.
