Ukrayna’da Yeni Siber Tehdit: APT28’in Malware Çetesi
Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), APT28 isimli bir tehdit aktörünün yeni bir siber saldırı kampanyası başlattığını duyurdu. Rusya ile bağlantılı bu grup, Signal uygulaması aracılığıyla iki yeni malware ailesini yaymak için saldırılar düzenliyor: BEARDSHELL ve COVENANT. Bu tür saldırılar, devlet kurumları ve kritik altyapılar üzerinde büyük riskler oluşturmaktadır.
BEARDSHELL: Yeni Tehditlerin Başında
CERT-UA’ya göre BEARDSHELL, C++ dilinde yazılmış bir malware türüdür. Bu yazılım, PowerShell betikleri indirme ve çalıştırma yeteneğine sahiptir. Ayrıca, çalıştırma sonuçlarını uzaktaki bir sunucuya Icedrive API üzerinden yüklemektedir. BEARDSHELL, ilk olarak 2024’ün Mart ve Nisan aylarında, bir olay müdahale çerçevesinde ekran görüntüsü alma aracı SLIMAGENT ile birlikte gözlemlenmiştir.
O dönemde enfeksiyonun nasıl gerçekleştiğine dair herhangi bir bilgi mevcut değildi. Ancak, daha sonra ESET’ten alınan tehdit istihbaratı, "gov.ua" uzantılı bir e-posta hesabında yetkisiz erişim kanıtları tespit edilmiştir. Buradan elde edilen bilgiler, APT28’in webmail yazılımları üzerindeki açıkları nasıl kullandığına dair önemli ipuçları sunmaktadır.
COVENANT Framework’ü: Derinlemesine İstihbarat
COVENANT, keşfedilen bir malware çerçevesidir. Bu framework, hedef sistemlerde BEARDSHELL‘ı başlatmak için kullanılmaktadır. Saldırganlar, Signal üzerinden gönderilen mesajlarla Microsoft Word dökümanlarını (örneğin "Akt.doc") kullanarak enfeksiyonu yaymaktadır. Bu belgeler, çalıştırıldığında iki zararlı yük (bir DLL ve bir PNG dosyası) indirmektedir. DLL, sistemin kayıt defterinde değişiklikler yaparak gelecek sefer Windows Gezgini açıldığında kendini başlatmaktadır.
COVENANT, iki ara yükü indirir ve böylece BEARDSHELL’ın zararlı işlevlerini devreye almaktadır. Bu durumda, saldırganların hedef sistem üzerindeki kontrolü artırmaktadır.
Saldırıların Yayılması ve Hedef Alma Stratejileri
CERT-UA, APT28’in Ukrayna’da eski Roundcube webmail örneklerini hedef aldığını ve bu sistemlere yönelik çeşitli açıkları istismar ettiğini bildirmiştir. Özellikle CVE-2020-35730, CVE-2021-44026 ve CVE-2020-12641 açıklıklarını kullanarak phishing e-postalar aracılığıyla sızma sağlamaktadırlar. Bu e-postalar, genellikle haber metni içeriyor gibi görünse de, aslında saldırganların JavaScript kodlarını çalıştırmasını sağlamakta ve kritik bilgileri toplamak üzere tasarlanmıştır.
E-postalar, içeriği bait olarak sunan makalelerle doludur ve bu şekilde hedeflerin dikkatini çekmektedir. E.js adlı JavaScript dosyası, mağdurun adres defterini ve oturum çerezlerini ele geçirmekte, ayrıca gelen e-postaları başka bir adrese yönlendirmek için bir kural oluşturmaktadır. Q.js ise SQL enjeksiyon açığını kullanarak Roundcube veritabanından bilgi toplamaktadır.
Öneriler ve Önlem Alma Yöntemleri
Saldırıların önüne geçebilmek için devlet kuruluşlarına bazı önerilerde bulunulmaktadır. Öncelikle, network trafiğinin dikkatlice izlenmesi gerekmektedir. Özellikle "app.koofr[.]net" ve "api.icedrive[.]net" gibi alan adları üzerinde yoğunlaşılması önemlidir. Ayrıca, e-posta güvenliği sağlamak ve sisteme gelen tüm iletişimleri filtrelemek, potansiyel tehditlerin önlenebilmesi açısından kritik bir rol oynamaktadır.
Son olarak, kullanıcıların her türlü yazılımdaki güncellemeleri zamanında yapması ve güvenlik açıklarına karşı sistemlerini koruması gerektiği vurgulanmaktadır. Hem bireyler hem de kurumlar, siber güvenlik konusunda daha fazla eğitim almalı ve teknolojiye hakim olmalıdır.
Sonuç olarak
Siber güvenlik, her geçen gün daha büyük bir önem kazanırken, tehditlerin de giderek daha karmaşık hale gelmesi dikkat çekmektedir. APT28 gibi grupların eylemleri, kritik altyapılar ve devlet kurumları üzerinde büyük riskler doğurmakta. Bu nedenle, hem bireylerin hem de kurumların siber tehditlere karşı bilinçli ve hazırlıklı olması kritik bir öneme sahiptir.
