APT28’in UKR-net Kullanıcılarına Yönelik Kimlik Avı Kampanyasında Yeni Yöntemler

Anasayfa » APT28’in UKR-net Kullanıcılarına Yönelik Kimlik Avı Kampanyasında Yeni Yöntemler
APT, Kimlik Avı, Siber Güvenlik
Aralık 20, 2025Aralık 20, 2025Tarafından Cybernews.TR
0
APT28’in UKR-net Kullanıcılarına Yönelik Kimlik Avı Kampanyasında Yeni Yöntemler

Saldırının Genel Çerçevesi

APT28 olarak bilinen ve Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Başkanlığı Ana Müdürlüğü (GRU) ile bağlantılı olduğu değerlendirilen tehdit aktörü, Ukrayna’da popüler olan UKR-net webmail ve haber servisi kullanıcılarını hedef alan uzun soluklu bir kimlik bilgisi avı kampanyası yürütüyor. Haziran 2024 ile Nisan 2025 tarihleri arasında gözlemlenen bu operasyonlarda, kimlik bilgisi ve iki faktörlü kimlik doğrulama (2FA) kodlarının ele geçirilmesi amaçlanıyor.

Kampanya kapsamında, Mocky gibi meşru servislerde UKR-net temalı sahte giriş sayfaları oluşturuluyor. Bu sayfalar, hedef kullanıcıları kimlik bilgilerini ve 2FA kodlarını girmeye ikna etmek için tasarlanmış. Bağlantılar genellikle tiny.cc veya tinyurl.com gibi URL kısaltma servisleriyle gizleniyor. Ayrıca, Blogger platformunda oluşturulan alt alan adları üzerinden iki aşamalı yönlendirme zincirleri kullanılarak kimlik bilgisi toplama sayfalarına erişim sağlanıyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanyanın teknik yapısı şu adımlardan oluşuyor:

  • Başlangıçta, hedefe yönelik kimlik avı e-postaları PDF formatında gönderiliyor ve içinde sahte giriş sayfalarına yönlendiren bağlantılar yer alıyor.
  • Bu bağlantılar URL kısaltma servisleriyle gizleniyor ve bazen Blogger gibi platformlarda oluşturulan alt alan adları üzerinden iki aşamalı yönlendirme zincirleri devreye giriyor.
  • Kullanıcılar sahte UKR-net giriş sayfalarına yönlendiriliyor ve burada hem kullanıcı adı/şifre hem de 2FA kodları talep ediliyor.
  • Ele geçirilen kimlik bilgileri ve 2FA kodları, artık yönlendirici cihazlar yerine ngrok ve Serveo gibi proxy tünelleme servisleri üzerinden aktarılıyor; bu da tespit ve engellemeyi zorlaştırıyor.

Bu yöntem, 2000’lerin ortalarından beri devam eden ve hükümet kurumları, savunma yüklenicileri, lojistik firmaları ve politika düşünce kuruluşlarını hedef alan daha geniş bir kimlik avı operasyonunun güncel evrimi olarak değerlendiriliyor.

Siber Güvenlik Ekipleri İçin Öneriler

Bu tür gelişmiş kimlik avı kampanyalarına karşı kurumların alabileceği önlemler şunlardır:

  • E-posta güvenliği çözümlerinde URL tarama ve sandboxing özelliklerini aktif tutmak.
  • Kimlik doğrulama süreçlerinde çok faktörlü kimlik doğrulamanın (MFA) zorunlu ve güvenli yöntemlerle uygulanması.
  • EDR ve SIEM sistemlerinde şüpheli proxy tünelleme trafiği ve anormal oturum açma denemeleri için özel kurallar oluşturmak.
  • Çalışanları düzenli olarak kimlik avı farkındalık eğitimlerine tabi tutmak ve sahte giriş sayfalarını tanıma becerilerini artırmak.
  • Firewall ve ağ segmentasyonu ile dışarıdan gelen bağlantıların kontrolünü sıkılaştırmak, özellikle ngrok ve Serveo gibi servislerin kullanımını izlemek.
  • Log yönetiminde kimlik doğrulama ve yönlendirme kayıtlarının detaylı incelenmesini sağlamak.

Kurumsal Ortamlarda Olası Senaryo

Örneğin, bir finans kurumunda çalışan bir personel, sahte UKR-net giriş sayfasına yönlendirilerek kimlik bilgileri ve 2FA kodları ele geçirilebilir. Bu bilgilerle saldırganlar, kurumun kritik sistemlerine erişim sağlayabilir, finansal verileri çalabilir veya fidye yazılımı saldırıları için zemin hazırlayabilir. Bu nedenle, kurumların olay müdahale (incident response) planlarında kimlik avı kaynaklı erişim ihlallerine karşı hazırlıklı olmaları gerekmektedir.

Teknik Özet

  • Kullanılan zararlılar ve araçlar: HeadLace kötü amaçlı yazılımı, kimlik bilgisi toplama web sayfaları, ngrok ve Serveo proxy tünelleme servisleri.
  • Hedef sektörler: Hükümet kurumları, savunma sanayi, lojistik, politika düşünce kuruluşları, finans sektörü.
  • Kullanılan yöntemler: URL kısaltma, iki aşamalı yönlendirme zinciri, sahte webmail giriş sayfaları, 2FA kodlarının ele geçirilmesi.
  • Saldırı zinciri: Kimlik avı e-postası → URL kısaltma ve yönlendirme → sahte giriş sayfası → kimlik bilgisi ve 2FA kodlarının toplanması → proxy tünelleme ile veri aktarımı.
  • Önerilen savunma: Çok faktörlü kimlik doğrulama, gelişmiş e-posta güvenliği, EDR ve SIEM entegrasyonları, ağ segmentasyonu ve düzenli farkındalık eğitimleri.

Bu gelişmeler, özellikle Rusya-Ukrayna çatışması bağlamında GRU’nun Ukraynalı kullanıcıların kimlik bilgilerini ele geçirme konusundaki ısrarcı ilgisini göstermektedir. Siber güvenlik ekiplerinin, bu tür karmaşık kimlik avı operasyonlarına karşı proaktif önlemler alması kritik önem taşımaktadır.

, , , , , , ,