Rusya bağlantılı tehdit aktörü Gamaredon (diğer adıyla Shuckworm), Ukrayna’da konuşlanmış yabancı bir askerî misyonu hedef alan bir siber saldırıyla ilişkilendirildi. Saldırının amacı, GammaSteel adlı bilinen kötü amaçlı yazılımın güncellenmiş bir sürümünü dağıtmaktı.
Symantec Threat Hunter ekibine göre grup, Batılı bir ülkeye ait askerî misyonu hedef aldı ve zararlı etkinliğe dair ilk işaretler 26 Şubat 2025 tarihinde tespit edildi.
Broadcom’a bağlı tehdit istihbarat birimi tarafından paylaşılan rapora göre, saldırganlar tarafından kullanılan ilk bulaşma vektörü muhtemelen enfekte bir taşınabilir sürücüydü.
Saldırı, UserAssist anahtarının altında bir Windows Kayıt Defteri değeri oluşturulmasıyla başladı. Ardından explorer.exe aracılığıyla mshta.exe çalıştırılarak çok aşamalı bir enfeksiyon zinciri başlatıldı ve iki dosya etkinleştirildi.
- İlk dosya, “NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms” adlı dosya, komuta ve kontrol (C2) sunucusuyla iletişim kurmak için kullanılıyor. Bu iletişim, Teletype, Telegram ve Telegraph gibi meşru hizmetlerle ilişkili belirli URL’ler aracılığıyla sağlanıyor.
- İkinci dosya, “NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms” ise taşınabilir ve ağ sürücülerine bulaşmak için tasarlanmış. Her klasör için bir kısayol oluşturarak zararlı mshta.exe komutunu çalıştırıyor ve bunu gizliyor.
Devamında, 1 Mart 2025’te bir komut dosyası çalıştırıldı ve bu dosya bir C2 sunucusuyla iletişim kurarak sistem meta verilerini dışarı sızdırdı. Ardından Base64 ile kodlanmış bir payload aldı ve bu da PowerShell komutu aracılığıyla aynı komut dosyasının gizlenmiş yeni sürümünü indirmek için kullanıldı.
Bu yeni komut dosyası, sabit kodlanmış bir C2 sunucusuna bağlanarak iki ek PowerShell komutu daha indiriyor:
- İlki, ekran görüntüsü alma, systeminfo komutunu çalıştırma, sistemde çalışan güvenlik yazılımlarını belirleme, masaüstündeki dosya ve klasörleri listeleme, çalışan işlemleri görüntüleme gibi keşif faaliyetlerini yerine getiriyor.
- İkincisi, GammaSteel adlı bilgi çalan yazılımın geliştirilmiş bir sürümü. Bu yazılım, Masaüstü ve Belgeler klasörlerindeki belirli uzantılara sahip dosyaları dışarı aktarma yeteneğine sahip.
Symantec, “Bu saldırı, Shuckworm için belirli bir düzeyde gelişmişlik artışını işaret ediyor. Her ne kadar diğer Rus gruplara kıyasla daha az yetkin olsa da, Ukrayna’daki hedeflere odaklanan ısrarlı çalışmalarıyla bu açığı kapatmaya çalışıyorlar.” dedi.
“Grup, diğer Rus tehdit aktörleriyle aynı beceri setine sahip olmasa da; kullandıkları kodları sürekli küçük değişikliklerle güncelleyerek, gizleme teknikleri ekleyerek ve meşru web hizmetlerinden faydalanarak tespit edilme riskini düşürmeye çalışıyor.”
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment