APT28 ve Signal Üzerinden Gerçekleştirilen Siber Saldırılar
APT28, Rusya devlet destekli bir tehdit grubudur ve son dönemde Signal uygulamasını kullanarak Ukrayna’nın hükümet hedeflerine saldırılar gerçekleştirmektedir. Bu saldırılarda BeardShell ve SlimAgent adında daha önce belgelenmemiş iki kötü amaçlı yazılım ailesi kullanılmaktadır.
- APT28 ve Signal Üzerinden Gerçekleştirilen Siber Saldırılar
- Signal’ın Güvenliği ve Tehditlerin Kullanımı
- ESET ve Yeni Olay Müdahalesi
- Covenant ve Persistent Malware Araçları
- BeardShell’ın İşlevselliği
- SlimAgent ile Ekran Görüntüsü Alma
- APT28’in İzlediği Yöntemler
- Geçmişteki Siber Saldırılar ve Yöntemler
- Ukrayna Hükümeti ve Signal İlişkisi
Signal’ın Güvenliği ve Tehditlerin Kullanımı
Öncelikle, Signal uygulamasında bir güvenlik sorunu bulunmamaktadır. Ancak, kötü niyetli aktörler, bu mesajlaşma platformunu phishing (oltalama) saldırıları için kullanmaya başlamışlardır. Hükümetler arasında yaygın bir kullanım gösterdiğinden, Signal’ın bu tür durumlarda daha fazla tercih edildiği görülmektedir.
Saldırılar, 2024 Mart ayında Ukrayna Bilgisayar Acil Durum Müdahale Takımı (CERT-UA) tarafından keşfedilmiştir. Ancak, o dönemde enfeksiyon vektörüne dair sınırlı ayrıntılar elde edilmiştir.
ESET ve Yeni Olay Müdahalesi
Mayıs 2025’te ESET, bir gov.ua e-posta hesabına yetkisiz erişim hakkında CERT-UA’yı bilgilendirmiştir. Bu durum, yeni bir olay müdahalesini tetiklemiştir. Yeni yapılan araştırmalarda, Signal üzerinden gönderilen mesajların hedeflere zararlı bir belge (Акт.doc) ulaştırmak için kullanıldığı tespit edilmiştir. Bu belge, kötü amaçlı bir geri kapı olan Covenant‘ı yüklemek için makrolar kullanmaktadır.
Covenant ve Persistent Malware Araçları
Covenant, bir kötü amaçlı yazılım yükleyici olarak görev yapmaktadır. Bu yazılım, PlaySndSrv.dll adında bir DLL dosyasını ve BeardShell‘ı yükleyen shellcode içeren bir WAV dosyasını (sample-03.wav) indirir. Hem yükleyici hem de ana kötü amaçlı yazılım, Windows kayıt defterinde COM-hijacking yöntemiyle sürekli bir varlık sağlamakta.
BeardShell’ın İşlevselliği
BeardShell’ın temel işlevi, PowerShell betiklerini indirmek, bunları ‘chacha20-poly1305’ ile şifrelerini çözmek ve yürütmektir. Yürütme sonuçları, komut ve kontrol (C2) sunucusuna exfiltre edilmektedir ve bu iletişim Icedrive API aracılığıyla sağlanmaktadır.
SlimAgent ile Ekran Görüntüsü Alma
2024 saldırılarında CERT-UA, SlimAgent adında bir ekran görüntüsü alma aracı tespit etmiştir. Bu araç, Windows API fonksiyonları (EnumDisplayMonitors, CreateCompatibleDC, CreateCompatibleBitmap, BitBlt, GdipSaveImageToStream) kullanarak ekran görüntüleri almaktadır. Alınan görüntüler, AES ve RSA ile şifrelenmekte ve yerel olarak saklanmakta, muhtemelen ayrı bir yük ve/veya araç aracılığıyla APT28’in C2 sunucusuna exfilte edilmektedir.
APT28’in İzlediği Yöntemler
CERT-UA, bu faaliyetleri APT28’e atfetmektedir ve bu grubu UAC-0001 olarak takip etmektedir. Potansiyel hedeflere, app.koofr.net ve api.icedrive.net ile olan ağ etkileşimlerini izleme önerisinde bulunmaktadır. APT28, Ukrayna‘nın yanı sıra ABD ve Avrupa’daki diğer anahtar kuruluşları da hedef alarak siber casusluk faaliyetlerinde bulunan en gelişmiş tehdit gruplarından biridir.
Geçmişteki Siber Saldırılar ve Yöntemler
APT28’in gelişmiş bir tehdit grubu olduğu, Volexity tarafından 2024 Kasım ayında, "en yakın komşu" tekniklerinden yararlanarak hedeflere uzaktan sızma girişimleriyle gün yüzüne çıkmıştır. Bu da, yakındaki Wi-Fi ağlarını kullanarak tehdidin ne kadar karmaşık hale geldiğini göstermektedir.
2025 itibarıyla, Signal beklenmedik bir şekilde Rusya ve Ukrayna ile bağlantılı siber saldırılarda merkezi bir rol oynamaya başlamıştır. Bu popüler iletişim platformu, cihaz bağlantı özelliğini kötüye kullanarak hesapları ele geçiren MongoDB veritabanlarını ve Dark Crystal RAT dağıtımını içeren spearfishing saldırılarında kullanılmıştır.
Ukrayna Hükümeti ve Signal İlişkisi
Ukrayna hükümetine temsilcileri, Signal’in Rus saldırılarını engellemeye yönelik çabalarına yeterince yardımcı olmadığını belirterek hayal kırıklığını dile getirmiştir. Ancak, Signal’in başkanı Meredith Whittaker, platformun hiçbir zaman iletişim verilerini Ukrayna veya başka bir hükümetle paylaşmadığını ifade etmiştir.
Sonuç olarak, APT28’in gelişmiş tehdit yöntemleri ve Signal’i kötüye kullanma çabaları, siber güvenlik alanındaki tehditleri daha da da derinleştirmektedir. Hükümetler ve kurumlar, bu tür saldırılara karşı daha dikkatli ve hazırlıklı olmalıdır.
