ESET‘in yayımladığı son rapora göre, Rusya bağlantılı Gamaredon tehdit grubu 2025 yılı boyunca Ukrayna’daki hükümet ve askeri kurumları hedef alarak siber casusluk faaliyetlerini yoğunlaştırdı. Grup, altı yeni PowerShell tabanlı kötü amaçlı araç geliştirirken, veri sızdırma yöntemlerinde de önemli değişikliklere gitti.
Gamaredon’un Hedefleri ve Faaliyetleri
Gamaredon, 2025 boyunca yalnızca Ukrayna’ya odaklandı ve hassas bilgileri çalarak Rusya’nın savaş çabalarını desteklemeyi amaçladı. Grup, Ukrayna Güvenlik Servisi tarafından Rusya FSB’sinin 18. Bilgi Güvenliği Merkezi‘ne atfediliyor ve işgal altındaki Kırım’dan faaliyet gösterdiği düşünülüyor. ESET araştırmacısı Zoltán Rusnák, grubun Ocak 2025’te kısa bir ara verdiğini, ancak yılın ilk yarısında yeni araçlar geliştirmeye odaklandığını belirtti. Özellikle Rusya ve Kırım’daki önemli bayramlar öncesinde güncellemeler yapıldığı, bu bayramlar sırasında ise herhangi bir güncelleme gözlemlenmediği ifade edildi. Bu durum, Gamaredon operatörlerinin devlete bağlı çalışanlar olduğu ihtimalini güçlendiriyor.
Yeni Araçlar ve İş Birlikleri
2025 yılında Gamaredon, tamamı PowerShell ile yazılmış altı yeni araç tanıttı: PteroDee, PteroCache, PteroDum, PteroOdd, PteroPaste ve PteroEffigy. Bunlar arasında en dikkat çekici olanı, bir indirici, USB silahlandırıcı ve kalıcılık için çalıştırıcı bileşenlerini birleştiren PteroPaste oldu. Ayrıca 2021’den kalma eski bir VBScript silahlandırıcı olan PteroSetup yeniden canlandırıldı. Grup, yılın başlarında Rusya bağlantılı bir başka tehdit aktörü olan Turla ile iş birliği yaparken, daha önce InvisiMole ile de ortak çalışmıştı. Bu iş birlikleri, Rus yanlısı gruplar arasında koordineli siber casusluk kampanyaları yürütme potansiyelini ortaya koyuyor.
Dead-Drop Taktikleri ve Altyapı Değişiklikleri
Gamaredon, 2025’te “dead-drop” hizmetlerini yoğun şekilde kullanmaya başladı. Geleneksel casusluktan esinlenen bu yöntemde, kötü amaçlı yazılım doğrudan C&C sunucusuna bağlanmak yerine, önce Telegram kanalları, Dropbox, DEV Community ve Mastodon gibi meşru hizmetler üzerindeki halka açık sayfalardan gizli bilgileri alıyor. Ayrıca C&C sunucuları, tüneller, işleyiciler, DDNS ve PaaS gibi üçüncü taraf hizmetlerin arkasına gizlenerek korunuyor. Veri sızdırma tarafında ise PteroPSDoor ve PteroVDoor dosya hırsızları, çalınan verileri Wasabi, Tebi ve Intercolo gibi S3 uyumlu bulut depolama hizmetlerine yükleyecek şekilde güncellendi. Bu sayede grup, kendi altyapısını sürdürme ihtiyacını azaltırken, kötü amaçlı trafiği meşru trafik arasında gizleyebiliyor.
Spear Phishing ve Yanal Hareket
Yılın ikinci yarısında Gamaredon, daha büyük ve daha sık spear phishing kampanyaları düzenledi. Faaliyet temposu belirgin şekilde arttı. Bunun yanı sıra, USB sürücüleri, eşlenmiş ağ sürücüleri ve yazılım yükleyicilerini silahlandırarak yanal hareket için özel araçlar kullanmaya devam etti. Bu araçlar, grubun ilk saldırıdan sonra kuruluşlar içinde veya arasında yayılmasına olanak tanıyor.
Gamaredon’un 2025 operasyonları, Rus yanlısı siber casusluk gruplarının artan iş birliği ve taktiksel yeniliklerini gözler önüne seriyor. ESET’in raporu, bu tür tehditlere karşı savunma mekanizmalarının sürekli güncellenmesi gerektiğini vurguluyor.
Kaynak: Beyaz Haber Ajansı