Son dönemde yapılan analizler, Gamaredon adlı siber tehdit aktörünün Ukrayna’ya yönelik saldırılarını yoğunlaştırdığını ortaya koyuyor. Slovakya merkezli bir siber güvenlik firması tarafından izlenen kampanyalarda, özellikle yılın ikinci yarısında 35 farklı hedefe yönelik özgün oltalama operasyonları gerçekleştirildi. Bu saldırıların başlıca hedefleri arasında Ukrayna’nın devlet kurumları ve askeri yapıları bulunuyor.
Saldırı Zinciri ve Teknik Yenilikler
Gamaredon, oltalama saldırılarında genellikle arşiv eki veya XHTML dosyalarını kullanıyor. Bu dosyalar, HTML gizleme (HTML smuggling) yöntemiyle zararlı HTA indiricilerini hedef sistemlere ulaştırıyor. HTA indiricileri, ek yük olarak PteroSand gibi zararlı yazılımları sisteme yerleştiriyor. İlginç bir şekilde, saldırganlar kısa süre önce yamalanan WinRAR’daki kritik bir açığı (CVE-2025-8088) istismar ederek zararlı HTA dosyasını kurbanın Windows Başlangıç klasörüne yerleştiriyorlar. Böylece, kullanıcı bir sonraki oturum açışında zararlı otomatik olarak çalışıyor ve kalıcılık sağlanmış oluyor.
Gruptan elde edilen teknik veriler, PteroLNK ve PteroPaste gibi araçları kullanarak yan hareket kabiliyeti sağlandığını gösteriyor. Bu yöntemle USB ve ağ sürücülerine bulaşan zararlı LNK dosyaları, farkında olmayan kullanıcılar tarafından açıldığında ek indiriciler tetikleniyor. Ayrıca 2021’den beri bilinen, ancak az kullanılan PteroSetup adlı eski bir VBScript silahı da aktif olarak kullanılıyor. Bu araç, USB ve ağ sürücülerinde bulunan meşru kurulum dosyalarını tespit edip, bunları orijinal kurulum dosyası ve zararlı VBScript indiriciyi içeren 7z SFX arşivleriyle değiştiriyor.
Bulut Hizmetleri ve Üçüncü Taraf Platformların Kötüye Kullanımı
2025’te Gamaredon, gerçek altyapısını gizlemek için üçüncü taraf tünel servisleri ve sunucusuz çalışan platformlara daha fazla dayanmaya başladı. Saldırganlar, komuta kontrol (C2) sunucularının adres bilgilerini gizlemek ve veri sızdırmak için Telegra.ph, GoFile, Dropbox gibi bulut depolama ve yayın platformlarını kullanıyor. Aynı zamanda Mastodon, Rentry.co ve Paste.ee gibi çeşitli meşru servisler, veri çıkışı kanalı ve ölü bırakma (dead drop) olarak işlev görüyor. Bu da operasyonların izini sürmeyi ve engellemeyi zorlaştırıyor.
Yeni zararlı araçlar grubun araç setine dahil edildi: PteroDee ve PteroCache bellek içi PowerShell yüklerini getirip çalıştırıyor; PteroDum ise VBScript yüklerini benzer biçimde yürütüyor. PteroOdd, Telegra.ph API’si üzerinden tek bir PowerShell zararlısını indiriyor ve Turla ile işbirliği yapılan kampanyalarda kullanıldığı düşünülüyor. PteroEffigy, GoFile bulut servisi üzerinden C2 sunucusunun adresini alıyor. Bu çeşitlilik, Gamaredon’un operasyonlarında esneklik sağlıyor.
Kampanya Zamanlaması ve Operasyonel Davranış
Araştırmacılar, grubun 2025 Ocak ayında kısa bir operasyonel mola verdiğini ancak yılın ilk yarısında yeni araçlar geliştirmek ve dağıtmak için yoğun çalıştığını belirtiyor. Özellikle Rusya ve Kırım’daki önemli tatiller öncesi güncellemeler yapılırken, tatil dönemlerinde neredeyse hiç aktivite gözlemlenmemesi grubun devlet bağlantılarına işaret ediyor.
Gamaredon’un Hedefleri ve Etkileri
Grubun esas amacı, Ukrayna’nın hassas bilgilerini ele geçirip Rusya’nın savaş çabalarına destek sağlayacak şekilde kullanmak. Bu bağlamda, saldırılar yalnızca teknik olarak karmaşık değil, aynı zamanda sosyal mühendislik ve meşru servislerin yaratıcı kullanımıyla dikkat çekiyor. Oltalama ve dosya gizleme teknikleri, kurumların e-posta güvenliği ve ağ segmentasyonunu zorlayan unsurlar arasında yer alıyor.
Teknik Özet ve Öneriler
Gamaredon saldırılarında, Windows Başlangıç klasörüne zararlı HTA dosyalarının yerleştirilmesi (CVE-2025-8088), PteroLNK ve PteroPaste ile USB ve ağ sürücülerinin enfekte edilmesi, PowerShell ve VBScript tabanlı zararlıların bellek içi yürütülmesi görülüyor. Hedefler arasında Ukrayna devlet ve askeri kurumları öne çıkıyor.
Siber güvenlik ekipleri için bazı temel önlemler şöyle sıralanabilir: E-posta filtreleme ve kullanıcı eğitimi ile oltalama saldırılarına karşı hazırlıklı olmak; kullanılan tüm yazılımların güvenlik yamalarını zamanında uygulamak; USB ve ağ sürücülerine erişimi sınırlandırmak; bellek içi zararlıların tespiti için gelişmiş EDR çözümleri kullanmak; bulut hizmetlerinin erişim ve kullanımını denetlemek; ve ağ segmentasyonu ile saldırganların yan hareket kabiliyetini kısıtlamak.
Gamaredon’un karmaşık ve çok katmanlı saldırı stratejisi, özellikle devlet destekli tehdit aktörlerinin bulut güvenliği ve veri sızıntısı alanlarında ne kadar yaratıcı olabileceğini gösteriyor. Uluslararası arenada devam eden bu tür saldırılar, sadece Ukrayna ile sınırlı kalmayabilir. Kurumların olay müdahale kapasitelerini güçlendirmeleri ve güvenlik politikalarını güncel tutmaları kritik önem taşıyor.