COLDRIVER APT Grubu ve Yeni Siber Saldırılar
Günümüzde siber güvenlik alanında yaşanan tehditler giderek artmaktadır. COLDRIVER adıyla bilinen Rusya kökenli APT grubu, yeni bir ClickFix tarzı saldırı dalgası başlatmış durumda. Bu saldırıların amacı, iki yeni “hafif” zararlı yazılım ailesini tanıtmaktır: BAITSWITCH ve SIMPLEFIX. Zscaler ThreatLabz, bu çok aşamalı ClickFix kampanyasını geçen ay tespit etti. BAITSWITCH, hedef sistemlerde SIMPLEFIX adlı bir PowerShell arka kapısını (backdoor) indirmek üzere tasarlanmış bir indiricidir.
COLDRIVER, aynı zamanda Callisto, Star Blizzard ve UNC4057 olarak da bilinen bir tehdit aktörüdür ve 2019 yılından bu yana çeşitli sektörlere yönelik saldırılar gerçekleştirmektedir. İlk kampanya dalgalarında, hedefleri kimlik bilgilerini çalmaya yönelik sahte sayfalara yönlendiren oltalama (spear-phishing) yöntemleri kullanılmıştır. Zamanla, SPICA ve LOSTKEYS gibi özel araçlar geliştiren grup, teknik açıdan ne kadar gelişmiş olduğunu ortaya koymuştur.
ClickFix Taktikleri ve Saldırı Yöntemleri
ClickFix taktiklerinin kullanımının devam etmesi, bu yöntemin etkili bir enfeksiyon vektörü olduğunu göstermektedir. Zscaler güvenlik araştırmacıları, bu hafta yayımlanan bir raporda, “ClickFix’in sürekli kullanımı, ne yenilikçi ne de teknik açıdan gelişmiş olsa da, etkili bir enfeksiyon vektörü olduğunu göstermektedir,” ifadesini kullandı. COLDRIVER’in en son saldırı zinciri, kurbanları bir CAPTCHA kontrolünü tamamlama gerekçesiyle kötü niyetli bir DLL’i çalıştırmaya ikna eden benzer bir yöntem izlemektedir.
BAITSWITCH adlı DLL, saldırgan kontrolündeki bir alan adına (“captchanom[.]top”) ulaşarak SIMPLEFIX arka kapısını alır. Bu süreçte, kurbanlara sunulan bir belge Google Drive’da barındırılmaktadır. Ayrıca, sistem bilgilerini göndermek, devamlılık sağlamak üzere komutlar almak ve şifreli yükleri Windows Kayıt Defteri’ne depolamak için aynı sunucuya bir dizi HTTP isteği göndermektedir. Bu komutlar, ClickFix saldırısının izlerini silmek üzere tasarlanmıştır.
SIMPLEFIX’in Özellikleri ve Hedefleri
İndirilen PowerShell arka kapısı olan SIMPLEFIX, dış bir sunucuya (“southprovesolutions[.]com”) ulaşarak komut ve kontrol (C2) sunucusu ile iletişim kurar. Bu iletişim, uzaktan barındırılan PowerShell scriptlerini, komutlarını ve yürütülebilir dosyalarını çalıştırmak amacıyla gerçekleştirilmektedir. SIMPLEFIX tarafından yürütülen PowerShell scriptleri, önceden yapılandırılmış klasörlerde bulunan belirli dosya türlerine dair bilgileri dışarı aktarır. Bu sınıflama, LOSTKEYS ile üzerinde durulan dosya türleriyle örtüşmektedir.
Zscaler, COLDRIVER APT grubunun sivil toplum kuruluşlarını, insan hakları savunucularını ve Batı’daki düşünce kuruluşlarını hedef aldığını belirtiyor. Bu saldırıların amacı, Rusya ile bağlantılı sivil toplum üyelerine ulaşmaktır.
BO Team ve Bearlyfy Grubunun Rusya’ya Yönelik Saldırıları
Kaspersky’nin tespitlerine göre, Eylül 2025’te Rus şirketlerini hedef alarak yeni bir oltalama kampanyası gerçekleştiren BO Team grubu, şifre korumalı RAR arşivleriyle yeni versiyonları olan BrockenDoor ve ZeronetKit zararlı yazılımlarını yaymaya çalıştı. ZeronetKit, uzaktan erişim, dosya yükleme/indirme, komut yürütme ve TCP/IPv4 tüneli oluşturma gibi yeteneklere sahiptir. Yeni sürümleri, shellcode indirme ve çalıştırma gibi özelliklerle donatılmıştır.
Bearlyfy adı verilen yeni bir grup, LockBit 3.0 ve Babuk gibi fidye yazılımlarını kullanarak Rusya’ya yönelik saldırılar düzenlemektedir. İlk başta küçük şirketlere yönelik saldırılar gerçekleştiren grup, 2025 Nisan itibarıyla daha büyük firmaları hedef almaya başlamıştır. Ağustos 2025 itibarıyla, grubun en az 30 kurbanı olduğu tahmin edilmektedir. Son saldırılarda, saldırganlar 80.000 Euro fidye talep etmiştir.
Sonuç ve Değerlendirmeler
Günümüzde siber saldırılar daha karmaşık hale gelmekte ve hedefler, tek bir sektörden çok daha geniş bir yelpazeye yayılmaktadır. COLDRIVER ve diğer grupların kullandığı yöntemler, siber güvenlik alanında alınması gereken önlemleri zorunlu kılmaktadır. Özel sektör ve devletteki organizasyonlar, bu tür tehditlere karşı sürekli bir farkındalık ve hazırlık içinde olmalıdır. Cybersecurity discipline must evolve continually to counteract such sophisticated threats, ensuring that organizations remain resilient against emerging cyber risks.
