Giriş
Ukrayna Savunma Kuvvetleri, Ekim ve Aralık 2025 tarihleri arasında, bağış temalı bir kampanya aracılığıyla hedef alınmış ve bu süreçte “PluggyApe” adında arka kapı yazılımı içeren kötü amaçlı yazılımlar bulaşmıştır. Bu olay, siber güvenlik alanında önemli bir tehdit imzası taşırken, siber saldırıların nasıl evrim geçirdiğini de gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Saldırılar, hackerlar tarafından Signal veya WhatsApp üzerinden gönderilen sahte mesajlarla başlar. Mesajlarda, alıcılara sözde bir hayır kurumu tarafından işletilen bir web sitesini ziyaret etmeleri ve ilginç belgeleri içeren şifreli bir arşivi indirmeleri önerilmektedir. Ancak bu arşivler, PluggyApe yükleyicisi içeren çalıştırılabilir PIF dosyaları (.docx.pif) ile doludur.
- Kötü amaçlı PIF dosyası, Python uygulamalarını tek bir paket haline getiren PyInstaller açık kaynak aracı kullanılarak oluşturulmuştur.
- PluggyApe, kurulu olan sistemi analiz eder ve bilgileri saldırganlara aktararak kod yürütme komutlarını bekler.
- Saldırıların daha önceki versiyonlarında, yükleyici “.pdf.exe” uzantısına sahipti. Ancak Aralık 2025 itibarıyla PluggyApe v2 versiyonuna geçiş yapılmış ve bu versiyon daha iyi bir obfuscation, MQTT tabanlı iletişim ve daha fazla anti-analiz kontrolü sağlamaktadır.
Etkilenen Sistemler
Ukrayna’nın Siber Acil Durum Merkezi (CERT-UA), saldırılarda kullanılan PluggyApe yazılımının, dış kaynaklardan komut ve kontrol (C2) adreslerini alarak çalıştığını bildirmiştir. Bu adresler, rentry.co ve pastebin.com gibi platformlarda base64 kodlamasıyla yayınlanmaktadır. Mobil cihazların, bu tür saldırılarda genellikle zayıf koruma ve izleme nedeniyle ana hedef haline geldiği belirtilmektedir.
- Hedef alıcıların, siber saldırılardaki etkileşimleri genellikle meşru hesaplar ve ukrayna mobil operatörlerinin telefon numaraları üzerinden gerçekleşmektedir.
- Saldırganların, hedef birey veya kuruluş hakkında detaylı bilgiye sahip olması, saldırıların inandırıcılığını artırmaktadır.
Çözüm ve Korunma
CERT-UA, saldırıya uğrayan sistemlerin tespiti için bir ihlal göstergeleri (IoCs) listesi sağlamaktadır. Bu listede, hayır portalı gibi görünen aldatıcı web siteleri de yer almaktadır. Aşağıdaki önlemler, kullanıcıların korunmasına yardımcı olabilir:
- Sistemlerinizi güncel tutun ve yazılım güncellemelerini düzenli olarak yapın.
- Şüpheli mesajlara ve bağlantılara karşı dikkatli olun.
- Mobil cihazlar için güvenlik yazılımları kullanın ve güvenlik ayarlarını güçlendirin.
- Kullanıcı eğitimleri düzenleyerek çalışanları bilinçlendirin.
Sonuç
Siber saldırılara karşı korunmak için kullanıcıların, cihazlarını düzenli olarak güncellemeleri ve şüpheli kaynaklardan gelen iletilere karşı dikkatli olmaları gerekmektedir. Güncellemelerinizi yapın ve güvenlik önlemlerinizi güçlendirin! Mobil ve diğer cihazlarınızı koruma altına alarak, bu tür siber tehditlerden uzak durabilirsiniz.
