Enerji Sektörüne Yönelik Tehditler: Kazakistan Örneği
Son dönemde, Kazakistan’ın enerji sektörü üzerinde yoğunlaşan siber saldırılar dikkat çekiyor. Bu saldırılar, Rusya kökenli olduğu düşünülen bir tehdit aktörü tarafından gerçekleştiriliyor. Bu tehdit grubu, Seqrite Labs tarafından “Noisy Bear” olarak adlandırılan bir gruptur ve saldırılar 2025’in Nisan ayından bu yana aktif.
Saldırıların kod adı Operation BarrelFire olarak belirlenmiş olup, hedefte KazMunaiGas (KMG) çalışanları vardır. Güvenlik araştırmacısı Subhajeet Singha’nın açıklamalarına göre, tehdit aktörü, KMG’nin IT departmanına ait resmi belgelere benzer bir sahte belge göndererek, politika güncellemeleri, iç sertifikasyon prosedürleri ve maaş ayarlamaları gibi temaları kullanıyor.
Bu saldırı zinciri, bir phishing e-postasıyla başlıyor. E-posta, bir ZIP ek dosyası içeriyor ve bu dosyada bir Windows kısayolu (LNK) indiricisi, KazMunaiGas ile ilgili bir sahte belge, ve “KazMunayGaz_Viewer” adlı bir programı çalıştırmak için yazılmış talimatların bulunduğu README.txt dosyası mevcut. Bu e-posta, KazMunaiGas’ın finans departmanında çalışan bir kişinin ele geçirilmiş e-posta adresinden gönderilmiş.
Tehdit Zinciri ve Kötü Amaçlı Yazılımlar
LNK dosyasının kullanılmasının amacı, ek kötü amaçlı yazılımların yüklenmesine olanak tanımaktır. Burada bir PowerShell yükleyicisi olarak adlandırılan DOWNSHELL devreye giriyor. Saldırılar, bir DLL tabanlı implantın yüklenmesiyle sonuçlanıyor. Bu implant, shellcode çalıştırarak geri bağlantılı bir kabuk açabiliyor.
Yapılan ileri analizler, bu tehdit aktörünün altyapısının, Rusya merkezli bulletproof hosting hizmet sağlayıcısı Aeza Group üzerinde barındırıldığını göstermektedir. Bu grup, Temmuz 2025’te ABD tarafından kötü amaçlı faaliyetleri desteklemekten dolayı yaptırıma tabi tutuldu.
Diğer Kampanyalar ve Tehdit Grupları
HarfangLab, Belarus ile bağlantılı bir tehdit aktörünü Ghostwriter (veya FrostyNeighbor olarak da bilinir) bularak, bu grubun Nisan 2025’ten bu yana Ukrayna ve Polonya’ya yönelik kampanyalar düzenlediğini belirtiyor. Söz konusu kampanyalarda, ZIP ve RAR arşivleri kullanılarak, sistemlerin bilgi toplanması ve implantların yerleştirilmesi amaçlanıyor.
Saldırılar, XLS dosyaları içeren VBA makroları ile dosya ekleri sağlıyor. Bu makrolar, bir DLL’yi indirip yükleyerek, sonraki aşama için kötü amaçlı yazılımları komut ve kontrol sunucusundan alıyor. Polonya’ya yönelik saldırılarda ise Slack uygulaması bir veri aktarım kanalı olarak kullanılıyor ve ikinci aşama kötü amaçlı yazılımı indiriyor.
Bu tür saldırılar, ulaşılan sistemden bilgi toplamak ve daha fazla kötü amaçlı yazılım kurmak için ilerleyici bir yaklaşım benimsemiştir. HarfangLab‘a göre, bu küçük değişiklikler UAC-0057 grubunun daha az görülme hedefine odaklanmadığını gösteriyor.
Rusya’ya Yönelik Saldırılar ve Yeni Tehditler
Bu tehditler arasında, OldGremlin grubunun 2025’in ilk yarısında Rus şirketlerine yönelik zorla para isteme saldırıları da yer alıyor. Kaspersky’nin raporuna göre, bu saldırılar, phishing e-posta kampanyaları ile büyük sanayi kuruluşlarını hedef alıyor. Saldırılar, kurbanların bilgisayarlarındaki güvenlik çözümlerini devre dışı bırakmak için bir BYOVD teknik uygulaması içermektedir.
Ayrıca, Rusya’daki saldırılar, yeni bir bilgi hırsızı olan Phantom Stealer ile devam etmektedir. Bu yazılım, yetişkin içerikler ve ödemelerle ilgili e-postalar kullanarak hassas bilgileri toplamaktadır. Bunun yanı sıra, Stealerium adındaki açık kaynaklı bir yazılımdan türetilmiş olup, kullanıcıların web kamerası görüntülerini yakalamak için “PornDetector” modülünü de içinde barındırmaktadır.
Android Kötü Amaçlı Yazılımları
Rusya’nın güvenlik hizmetleri tarafından yaratıldığı düşünülen bir başka tehdit ise Android kötü amaçlı yazılım olup, kendini bir antivirüs aracı olarak tanıtmaktadır. Bu yazılım, Rus işletmeleri temsil eden kişileri hedef almıştır ve SECURITY_FSB, ФСБ (FSB’nin Rusça ismi) gibi isimlendirmelerle karşımıza çıkmaktadır.
Ocak 2025’te keşfedilen bu kötü amaçlı yazılım, mesajlaşma ve tarayıcı uygulamalarından veri sızdırmanın yanı sıra, telefonun kamerasından yayın yapabiliyor ve tuş kaydı yapıyor. Ayrıca, SMS mesajlarına, konum bilgilerine ve ses, kamera gibi geniş izin talepleriyle erişim sağlıyor.
Yazılımın arayüzü yalnızca Rusça sunulmakta olup, Rus kullanıcıları hedef alarak tasarlanmıştır. Bu backdoor, tehdit aktörleri tarafından verilen komutlarla silinme işlemlerine karşı korunmak için erişilebilirlik hizmetlerini kullanıyor.
