Mayıs 2025’te ortaya çıkan ve ESET tarafından InedibleOchotense kod adıyla takip edilen kampanya, Rusya yanlısı tehdit aktörlerinin Ukrayna’daki kritik kurumlara yönelik sofistike kimlik avı saldırıları düzenlediğini gösteriyor. Bu operasyonlarda, Truva atı bulaşmış ESET kurulum dosyaları kullanılarak hedef sistemlere Kalambur (SUMBUR) adlı C# tabanlı arka kapı yerleştiriliyor.
Kimlik Avı ve Truva Atı Dağıtımı
Kampanya, Ukraynaca yazılmış ancak ilk satırında Rusça bir kelime içeren e-postalar ve Signal üzerinden iletilen metin mesajları aracılığıyla yürütülüyor. Mesajlar, ESET’ten geliyormuş izlenimi vererek, kullanıcıları izleme ekiplerinin şüpheli süreçler tespit ettiği iddiasıyla korkutuyor ve kötü amaçlı kurulum dosyalarını indirmeye yönlendiriyor. Bu dosyalar esetsmart[.]com, esetscanner[.]com ve esetremover[.]com gibi alan adlarında barındırılıyor. Bu alan adları, meşru ESET markasını taklit ederek sosyal mühendislik saldırısının etkinliğini artırıyor.
Kalambur Arka Kapısı ve Teknik Özellikleri
Kalambur, C# ile geliştirilmiş ve komut-komut kontrol (C2) iletişimi için Tor anonimlik ağı kullanıyor. Bu sayede ağ trafiği gizlenerek tespit edilmesi zorlaşıyor. Arka kapı, OpenSSH bileşenini yükleyerek konteyner ortamlarında rastgele seçilen SSH portları üzerinden güvenli erişim sağlıyor. Ayrıca, 3389 numaralı port üzerinden Uzak Masaüstü Protokolü (RDP) bağlantılarına izin vererek saldırganların hedef sistemlere uzaktan erişimini mümkün kılıyor. Bu yöntem, MCP istemcisi ve AsyncRAT gibi gelişmiş uzaktan erişim araçlarına benzer şekilde, kalıcılık ve esneklik sağlıyor.
Sandworm Grubunun Rolü ve Diğer Kampanyalar
EclecticIQ tarafından BACKORDER arka kapısı ile ilişkilendirilen bu kampanya, CERT-UA tarafından UAC-0212 koduyla tanımlanmış ve Sandworm (APT44) grubunun alt kümelerinden biri olarak kabul ediliyor. Sandworm, Nisan 2025’te Ukrayna’da bir üniversiteye yönelik ZEROLOT ve Sting adlı yıkıcı silici kötü amaçlı yazılımları devreye sokmuş, ardından hükümet, enerji ve lojistik sektörlerine yönelik çok sayıda veri silme varyantı dağıtmıştı. Bu saldırılar, Rusya yanlısı tehdit aktörlerinin Ukrayna’da silici kötü amaçlı yazılımları yaygın şekilde kullandığını doğruluyor.
RomCom Grubunun WinRAR 0-Day Sömürüsü
Temmuz 2025’te aktifleşen RomCom (Storm-0978, Tropical Scorpius, UNC2596, Void Rabisu) grubu, CVE-2025-8088 numaralı ve CVSS 8.8 puanlı WinRAR açığını kullanarak finans, üretim, savunma ve lojistik sektörlerine yönelik kimlik avı kampanyaları başlattı. Başarılı sömürüler, SnipBot (RomCom RAT 5.0), RustyClaw ve Mythic ajanı gibi çeşitli arka kapıların teslim edilmesini sağladı. Bu araçlar, Pydantic AI tabanlı analizlerle tespit edilmekte zorlanan, gelişmiş kalıcılık ve gizlilik teknikleri kullanıyor.
Analiz ve Değerlendirme
Bu kampanyalar, Rusya yanlısı tehdit aktörlerinin Ukrayna’daki siber savaşta kullandığı çok katmanlı ve karmaşık araç setlerini ortaya koyuyor. ESET kurulum dosyalarının kötüye kullanımı, marka taklidi ve sosyal mühendislik unsurlarının birleşimiyle yüksek başarı oranı sağlıyor. Kalambur arka kapısının Tor ağı üzerinden C2 iletişimi ve OpenSSH ile rastgele SSH portları kullanması, tespit ve müdahaleyi zorlaştırıyor. Ayrıca, RDP erişimi ile saldırganların hedef sistemlerde tam kontrol sağlaması, operasyonların sürdürülebilirliğini artırıyor.
RomCom grubunun WinRAR 0-day açığını kullanması, tehdit aktörlerinin sıfır gün zafiyetlerini hızlıca operasyonel hale getirme kabiliyetini gösteriyor. Bu durum, güvenlik ekiplerinin yama yönetimi ve saldırı yüzeyi azaltma stratejilerini önceliklendirmesinin önemini vurguluyor. MCP istemcisi ve AsyncRAT benzeri araçların benzer tekniklerle kullanılması, tehdit aktörlerinin modüler ve esnek altyapılar kurduğunu gösteriyor.
Sonuç olarak, Ukrayna’daki siber çatışma ortamında, gelişmiş tehdit aktörlerinin sürekli evrilen taktik, teknik ve prosedürlerine karşı proaktif savunma mekanizmalarının geliştirilmesi kritik önem taşıyor.