Siber Saldırılara Genel Bakış
Son yıllarda, siber saldırılar, dünya genelinde büyük bir sorun haline geldi. Özellikle, belirli grupların düzenlediği organize saldırılar, hem devlet hem de özel sektör için ciddi tehditler oluşturmaktadır. Bu bağlamda, Rare Werewolf (eski adıyla Rare Wolf) adlı siber saldırgan grubunun son zamanlarda Rusya ve Bağımsız Devletler Topluluğu (CIS) ülkelerini hedef aldığı dikkat çekmektedir.
Rare Werewolf Grubunun Özellikleri
Kaspersky’nin raporlarına göre, Rare Werewolf grubunun en belirgin özelliği, kendi kötü amaçlı yazılımlarını geliştirmek yerine meşru üçüncü taraf yazılımlarını kullanmayı tercih etmesidir. Bu yaklaşım, siber güvenlik uzmanlarının saldırıları tespit etmesini daha da zorlaştırmaktadır. Grubun hedefleri arasında, uzaktan erişim sağlamanın yanı sıra, şifreleri çalmak ve XMRig kripto para madencisini kurmak da bulunmaktadır. Bu saldırılar sonucunda, özellikle sanayi işletmeleri ve mühendislik okullarının yanı sıra, Belarus ve Kazakistan’daki birkaç kullanıcı da etkilenmiştir.
İlk Erişim Yöntemleri
Rare Werewolf’un ilk erişim sağlamak için kullandığı yöntemlerden biri, phishing e-postalarıdır. Bu e-postalar, hedef kullanıcıların belgelerini çalmak ve Telegram messenger verilerini elde etmek amacıyla kullanılmaktadır. Grubun kullandığı bir diğer yazılım ise, Mipko Employee Monitor ve WebBrowserPassView gibi araçları içermektedir. Bu araçlar, bulaşan sistemle etkileşim kurarak şifreleri toplamak ve antivirüs yazılımlarını devre dışı bırakmak için kullanılmaktadır.
Yeni Saldırı Yöntemleri ve Araçlar
Kaspersky’nin belgelerine göre, saldırganlar son uygulamalarında parola korumalı arşivler kullanarak kötü amaçlı yazılımları yaymayı tercih etmektedir. Bu arşivlerde, 4t Tray Minimizer gibi meşru araçların yükleyicileri ve sahte bir PDF belgesi yer almaktadır. Bu yazılım, çalışan uygulamaları sistem tepsisinde gizleyerek saldırganların sistem üzerindeki varlıklarını örtbas etmelerini sağlamaktadır.
Kullanılan diğer araçlar arasında Defender Control ve Blat gibi meşru yazılımlar yer almaktadır. Blat, saldırganlar tarafından ele geçirilen verileri bir e-posta adresine göndermek için kullanılmaktadır. Ayrıca, AnyDesk uzaktan masaüstü yazılımının kullanılması, veri çalınmasını kolaylaştırmaktadır.
Otomatize Edilmiş Zirve Saldırıları
Özellikle dikkat çeken bir özellik, gruptan kaynaklanan Windows batch scriptlerinin kullanımıdır. Bu script, saldırganların, hedef sistemdeki bir PowerShell betiğini başlatmasını sağlamakta ve kötü niyetli erişimi kolaylaştırmaktadır. Örneğin, saldırı gerçekleştikten sonra, sistemin her gün saat 01:00’de uyanması ve 04 saat boyunca uzaktan erişime açılması sağlanmaktadır. Sistem, daha sonra saat 05:00’te kapatılmaktadır.
Kaspersky’nin raporuna göre, bu durumda üçüncü taraf meşru yazılımların kötü amaçlı amaçlar için kullanılması, tehditlerin algılanmasını daha da zorlaştırmaktadır.
Diğer Siber Suç Grupları
Kaspersky’nin açıklamaları, siber suç dünyasında başka bir grup olan DarkGaboon‘u da gündeme getirmektedir. DarkGaboon, Rus kuruluşlarını hedef alarak LockBit 3.0 fidye yazılımını kullanmaktadır. 2025 yılının Ocak ayında keşfedilen bu grubun, Mayıs 2023’ten beri aktif olduğu düşünülmektedir.
Bu grubun saldırıları, phishing e-postaları aracılığıyla gerçekleştirilmektedir. Arşiv dosyaları içinde bulunan RTF belgeleri ve Windows ekran koruyucu dosyaları kullanılarak LockBit şifreleyici ve XWorm gibi trojanlar dağıtılmaktadır. Saldırganların, mevcut araçları kullanarak diğer siber suç faaliyetleriyle karışmayı hedeflediği düşünülmektedir.
Siber saldırılar, hem bireyler hem de kuruluşlar için tehdit oluşturmaya devam etmektedir. Rare Werewolf ve DarkGaboon gibi grupların faaliyetleri, siber güvenliğin ne kadar kritik bir önem taşıdığını gösteriyor. Bu bağlamda, siber güvenlik önlemlerinin sürekli olarak güncellenmesi ve gelişen tehditlere karşı savunma yöntemlerinin gözden geçirilmesi gerekmektedir. Kullanıcıların dikkatli olmaları, yalnızca kişisel verilerini korumakla kalmayacak, aynı zamanda daha geniş çaplı siber saldırıları da önlemek için önemli bir adım olacaktır.
