Gamaredon’un Siber Tehditleri ve Önemi
Rus bir ileri düzey kalıcı tehdit (APT) grubu olan Gamaredon, 2025 boyunca Ukrayna’ya yönelik siber saldırılarını sürdürerek malware envanterini geliştirmeye devam etmiştir. Bu saldırılar, hem devlet hem de askeri kurumları hedef alarak kritik bilgilerin sızdırılmasına yönelik stratejiler içermektedir.
Saldırı Nasıl Çalışıyor?
Gamaredon’un düzenlediği 35 ayrı spear-phishing kampanyası, HTML smuggling kullanarak kötü amaçlı HTA indirmeleri teslim etmek üzere arşiv ekleri veya XHTML dosyaları içermektedir. Bu kampanyalarda kullanılmış olan bazı teknikler:
- WinRAR’daki düzeltme gerektiren CVE-2025-8088 açığı, kurbanın Windows Başlangıç klasörüne kötü amaçlı HTA indirmelerini yerleştirmek için kullanılmaktadır.
- Kötü amaçlı LNK dosyaları ile USB ve ağ sürücülerinin enfekte edilmesi, kullanıcıların bu dosyaları açması durumunda indirme işlemini tetiklemektedir.
- PteroLNK ve PteroPaste gibi silahlandırıcıların kullanımıyla harekethanelik sağlanmaktadır.
Etkilenen Sistemler
Gamaredon’un kullandığı araçlar, Windows ortamında faaliyet gösteren sistemleri hedef alarak kritik verilere ulaşmayı hedeflemektedir. Bu bağlamda, aşağıdaki yeni kötü amaçlı PowerShell araçları da saldırı portföyüne eklenmiştir:
- PteroDee ve PteroCache: Bellekte PowerShell yükler alıp çalıştırmak için kullanılıyor.
- PteroDum: Bellekte VBScript yükler almak ve çalıştırmak için tasarlanmıştır.
- PteroOdd: Telegra.ph API’sini kullanarak tek bir PowerShell yükü alma işlevi vardır.
- PteroEffigy: GoFile bulut depolama hizmeti üzerinden komut ve kontrol (C2) sunucusunu almak için kullanılır.
- PteroPaste: USB sürücülerini silahlandırarak ek PowerShell yüklerini şifreli bir kanaldan indirmeye yarar.
Çözüm ve Korunma
ESET araştırmacıları, Gamaredon’un faaliyetlerinin artan bağımlılığının üçüncü taraf hizmetlerle büyüdüğünü belirtmektedir. Bu bağlamda, aşağıdaki önlemleri almanız önerilmektedir:
- Yazılım ve güvenlik duvarı güncellemelerini düzenli olarak yapın.
- Açık portları kapatın ve gereksiz hizmetleri devre dışı bırakın.
- Şüpheli e-postalara karşı dikkatli olun, özellikle de bilmediğiniz ekler veya bağlantılar varsa.
- Güvenlik çözümlerini kurun ve düzenli olarak verilerinizi yedekleyin.
- Kullanıcı eğitimleri ile kurul içindeki bilgilendirilmeleri artırın.
Gamaredon’un arttırdığı tehdide karşı bilinçli olmak ve işletmelerin güvenlik stratejilerini güçlendirmek büyük önem taşımaktadır. Sisteminizi korumak için gerekli adımları atmayı unutmayın.
