APT28’in BEARDSHELL ve COVENANT Araçlarıyla Ukrayna Askeri Personeline Yönelik Uzun Süreli Gözetim Taktikleri

Anasayfa » APT28’in BEARDSHELL ve COVENANT Araçlarıyla Ukrayna Askeri Personeline Yönelik Uzun Süreli Gözetim Taktikleri
APT, Siber Güvenlik, Zararlı Yazılımlar
Mart 15, 2026Mart 15, 2026Tarafından Cybernews.TR
0
APT28’in BEARDSHELL ve COVENANT Araçlarıyla Ukrayna Askeri Personeline Yönelik Uzun Süreli Gözetim Taktikleri

Saldırının Genel Çerçevesi

Rusya Federasyonu’nun askeri istihbarat birimi GRU’ya bağlı APT28 (diğer adlarıyla Fancy Bear, Sednit, Sofacy) grubunun, Ukrayna askeri personelini hedef alan uzun vadeli gözetim operasyonlarında BEARDSHELL ve COVENANT adlı iki gelişmiş implantı kullandığı gözlemlendi. Bu zararlılar, Nisan 2024’ten itibaren aktif olarak tespit edilmekte olup, hedef odaklı ve karmaşık bir saldırı zincirinin parçası olarak işlev görüyor.

Grubun zararlı yazılım cephaneliğinde ayrıca tuş vuruşlarını kaydedebilen, ekran görüntüsü alabilen ve pano verilerini toplayabilen SLIMAGENT adlı bir araç da bulunuyor. SLIMAGENT, 2010’larda APT28 tarafından kullanılan XAgent implantından türemiş olup, gelişmiş HTML formatında casusluk günlükleri oluşturma yeteneğine sahip.

Saldırı Zinciri ve Teknik Detaylar

APT28’in saldırı zinciri genellikle şu adımları içeriyor:

  • Hedefe yönelik sosyal mühendislik veya kimlik avı saldırılarıyla başlangıç erişimi sağlanması.
  • BEARDSHELL implantının ele geçirilen sistemlerde PowerShell komutları çalıştırarak uzaktan kontrol sağlaması; bu zararlı, meşru bulut depolama servisi Icedrive üzerinden komut ve kontrol (C2) iletişimi kuruyor.
  • COVENANT post-exploitation çerçevesinin modifiye edilmiş versiyonunun kullanılması; bu araç Temmuz 2025’ten itibaren Filen bulut servisini kötüye kullanarak ağ protokolü uyguluyor ve uzun süreli casusluk faaliyetlerine olanak tanıyor.
  • SLIMAGENT ile tuş kaydı, ekran görüntüsü ve pano verilerinin toplanması; bu veriler HTML formatında raporlanıyor ve XAgent ile benzer renk kodlaması kullanılıyor.

BEARDSHELL’in dikkat çeken teknik özelliklerinden biri, 2016 Demokratik Ulusal Komite (DNC) saldırısında kullanılan XTunnel aracındaki opak önerme (opaque predicate) karartma tekniğini uygulaması. Bu, zararlının tespitini zorlaştıran nadir bir yöntem olarak öne çıkıyor.

Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler

  • PowerShell komutlarının anormal kullanımını tespit etmek için EDR çözümlerinde özel kurallar oluşturun.
  • Bulut tabanlı C2 iletişimlerini izlemek için SIEM sistemlerinde Icedrive, Filen ve benzeri servislerin trafik analizini yapın.
  • Tuş kaydı ve ekran görüntüsü gibi casusluk faaliyetlerini engellemek için uç nokta koruma yazılımlarını güncel tutun ve davranış analizi uygulayın.
  • APT28 gibi gelişmiş tehdit aktörlerine karşı çok faktörlü kimlik doğrulama (MFA) ve ağ segmentasyonu uygulayın.
  • Olay müdahale planlarınızı BEARDSHELL ve COVENANT gibi araçların teknik özelliklerine göre güncelleyin.
  • Phishing ve sosyal mühendislik saldırılarına karşı kullanıcı eğitimlerini düzenli hale getirin.
  • Bulut güvenliği politikalarını gözden geçirerek, bulut depolama servislerinin kötüye kullanımını engelleyecek erişim kontrolleri uygulayın.
  • Log yönetimi kapsamında PowerShell, ağ trafiği ve kullanıcı davranışlarına ilişkin detaylı kayıtlar tutun.

Kurumsal Ortamlarda Olası Senaryo

Örneğin, bir savunma sanayi kuruluşunda çalışanların bilgisayarlarına yönelik gerçekleştirilen kimlik avı saldırısı sonrası BEARDSHELL implantı yüklenebilir. Bu zararlı, PowerShell komutları aracılığıyla sistemdeki kritik verileri toplar ve Icedrive üzerinden C2 sunucusuna gönderir. Aynı zamanda COVENANT çerçevesi ile bulut tabanlı ağ protokolü üzerinden uzun süreli erişim sağlanır. SLIMAGENT ise tuş kaydı ve ekran görüntüsü alarak hassas bilgilerin sızdırılmasını mümkün kılar. Bu tür saldırılara karşı çok katmanlı savunma ve sürekli izleme kritik önem taşır.

Teknik Özet

  • Kullanılan Zararlılar: BEARDSHELL, COVENANT, SLIMAGENT, XAgent (türetilmiş)
  • Hedef Sektör ve Bölge: Ukrayna askeri personeli ve devlet kurumları
  • Kullanılan Teknikler: PowerShell komut yürütme, bulut tabanlı C2 (Icedrive, Filen), tuş kaydı, ekran görüntüsü, opak önerme karartma tekniği
  • Saldırı Zinciri: Kimlik avı → implant yükleme → PowerShell ile komut yürütme → bulut tabanlı C2 iletişimi → veri toplama ve sızdırma
  • Önerilen Savunma Yaklaşımları: Çok faktörlü kimlik doğrulama, EDR ve SIEM ile anomali tespiti, ağ segmentasyonu, kullanıcı eğitimi, bulut güvenliği politikalarının sıkılaştırılması

Bu gelişmeler, özellikle e-posta güvenliği, bulut güvenliği ve olay müdahale süreçlerinin önemini bir kez daha ortaya koyuyor. APT28 gibi devlet destekli tehdit aktörlerinin kullandığı gelişmiş teknikler, kurumların siber savunma stratejilerini sürekli güncel tutmasını gerektiriyor.

, , , , , , ,