Eset Research, Gamaredon’un güncellenmiş siber casusluk araç seti, yeni gizlilik odaklı teknikleri ve 2024 yılı boyunca gözlemlenen, belirli bireyleri, şirketleri veya departmanları hedef alan son derece kişiselleştirilmiş siber saldırılar olan spearphishing operasyonları hakkında bir doküman yayımladı. Ukrayna Güvenlik Servisi (SSU) tarafından Rusya Federal Güvenlik Servisi’nin (FSB) 18. Bilgi Güvenliği Merkezi’ne atfedilen Gamaredon, en az 2013’ten beri Ukrayna devlet kurumlarını hedef alıyor. Gamaredon, 2024 yılında sadece Ukrayna kurumlarına saldırdı. Eset’in son araştırması, grubun hâlâ oldukça aktif olduğunu, sürekli olarak Ukrayna’yı hedef aldığını ancak taktiklerini ve araçlarını önemli ölçüde uyarladığını gösteriyor. Grubun hedefi, Rusya’nın jeopolitik çıkarlarıyla uyumlu siber casusluk. Geçen yıl grup, yeni dağıtım yöntemleri kullanarak kimlik avı kampanyalarının ölçeğini ve sıklığını önemli ölçüde artırdı ve bir saldırı yükü yalnızca Rus propagandası yaymak için kullanıldı.
Gamaredon’un kimlik avı faaliyetleri 2024’ün ikinci yarısında önemli ölçüde yoğunlaştı. Kampanyalar genellikle art arda bir ila beş gün sürdü ve e-postalar kötü amaçlı arşivler (RAR, ZIP, 7z) veya HTML kaçakçılığı teknikleri kullanan XHTML dosyaları içeriyordu. Bu dosyalar, PteroSand gibi gömülü VBScript indiricilerini çalıştıran kötü amaçlı HTA veya LNK dosyalarını teslim ediyordu. Ekim 2024’te Eset, Gamaredon’un her zamanki taktiklerinden farklı olarak, spearphishing e-postalarının ekler yerine kötü amaçlı köprüler içerdiği nadir bir durum gözlemledi. Ayrıca Gamaredon yeni bir teknik daha ortaya koydu: PowerShell komutlarını doğrudan Cloudflare tarafından oluşturulan alan adlarından çalıştırmak için kötü amaçlı LNK dosyaları kullanmak, bazı geleneksel tespit mekanizmalarını atlamak. Gamaredon’un araç seti birkaç önemli güncelleme geçirdi. Daha az sayıda yeni araç tanıtılmış olsa da mevcut araçların güncellenmesi ve iyileştirilmesi için önemli kaynaklar harcanmıştır. Yeni araçlar öncelikle gizlilik, kalıcılık ve yanal hareket için tasarlandı. Mevcut araçlar ise gelişmiş gizleme, iyileştirilmiş gizlilik taktikleri ve yanal hareket ve veri sızıntısı için sofistike yöntemler de dâhil olmak üzere büyük güncellemeler aldı.
Gamaredon’un faaliyetlerini izleyen Eset araştırmacısı Zoltán Rusnák şu açıklamayı yaptı:
“Özellikle ilgi çekici bir bulgu, Temmuz 2024’te Gamaredon indiricileri tarafından teslim edilen benzersiz bir ad hoc VBScript yükünün keşfedilmesiydi. Bu yükün casusluk işlevi yoktu; bunun yerine tek amacı, Odessa bölgesini hedef alan Rusya yanlısı mesajlar yayan Guardians of Odessa adlı bir Telegram propaganda kanalını otomatik olarak açmaktı.
Ayrıca 2024 yılı boyunca Gamaredon ağ tabanlı savunmalardan kaçma konusunda ısrarlı bir kararlılık göstermiştir. Grup, daha düşük bir ölçekte de olsa hızlı akan DNS tekniklerinden yararlanmaya devam etti ve etki alanlarının arkasındaki IP adreslerini sık sık değiştirdi. Gamaredon, C&C altyapısını gizlemek ve dinamik olarak dağıtmak için Telegram, Telegraph, Codeberg, Dropbox ve Cloudflare tünelleri gibi üçüncü taraf hizmetlerine giderek daha fazla bel bağladı.”
Rusnák şunları ekledi:
“Gözlemlenebilir kapasite sınırlamalarına ve eski araçları terk etmesine rağmen Gamaredon sürekli yenilikçiliği, agresif spearphishing kampanyaları ve tespitlerden kaçmak için ısrarlı çabaları nedeniyle önemli bir tehdit aktörü olmaya devam ediyor. Rusya’nın Ukrayna’ya karşı savaşı devam ettiği sürece, Gamaredon’un da taktiklerini geliştirmeye devam edeceğini ve Ukrayna kurumlarına karşı siber casusluk operasyonlarını yoğunlaştıracağını tahmin ediyoruz”
Kaynak : 