Symantec ve Carbon Black Tehdit Avcısı ekiplerinin raporuna göre, Rus kaynaklı saldırganlar, iki ay süren operasyonlarda büyük bir iş hizmetleri kuruluşu ile bir yerel hükümet kurumunu hedef aldı. Saldırılar, yaşam alanından yararlanma (Living off the Land – LotL) teknikleri ve çift kullanımlı araçlar kullanılarak, minimum kötü amaçlı yazılım ile gerçekleştirildi.
Web Kabukları ve Uzun Süreli Gizlilik
Saldırganlar, muhtemelen yamalanmamış güvenlik açıklarından faydalanarak halka açık sunuculara LocalOlive gibi web kabukları yerleştirdi. LocalOlive, Microsoft tarafından Rusya bağlantılı Sandworm grubunun alt kampanyalarında kullanılan bir araç olup, Chisel, plink ve rsockstun gibi sonraki aşama yüklerinin teslimatını kolaylaştırıyor. Bu araçlar, MCP istemcisi benzeri protokollerle gizli tünelleme yapabiliyor ve rastgele seçilen SSH portları üzerinden konteynerlerde çalıştırılabiliyor.
Derinlemesine Keşif ve Kalıcı Erişim
Saldırganlar, PowerShell komutlarıyla Microsoft Defender Antivirus taramalarından İndirilenler klasörünü hariç tutup, her 30 dakikada bir bellek dökümü almak için zamanlanmış görevler oluşturdu. Ayrıca, KeePass şifre kasalarını hedeflemek için “kee” ile başlayan süreçleri listeleyip, RDP bağlantılarına izin verecek şekilde kayıt defteri ayarlarını değiştirdi. OpenSSH sunucusu kurarak 22 numaralı TCP portunu açtılar ve RDPclip ile uzak masaüstü panosuna erişim sağladılar. Bu yöntemler, AsyncRAT benzeri uzaktan erişim araçlarının kullanımını andıran, düşük izli ve kalıcı erişim stratejilerinin parçası olarak değerlendirilebilir.
Şüpheli Dosyalar ve Bağlantılar
İndirilenler klasörüne meşru görünen MikroTik yönlendirici yönetim uygulaması “winbox64.exe” yerleştirildi. Bu dosya, Nisan 2024’te CERT-UA tarafından Ukrayna enerji ve su tedarikçilerine yönelik Sandworm kampanyasıyla ilişkilendirilmişti. Ancak Symantec ve Carbon Black, Sandworm ile doğrudan bağlantı kanıtı bulamadı. Saldırılar, çok sayıda PowerShell arka kapısı ve şüpheli yürütülebilir dosyalarla karakterize edildi, ancak bu dosyalar analiz için elde edilemedi.
WinRAR Güvenlik Açığı ve Gamaredon İstismarı
Bu gelişmeler, Gen Threat Labs’in CVE-2025-8088 (WinRAR yol geçişi) zafiyetini kullanarak Ukrayna hükümet kurumlarına yönelik Gamaredon saldırılarını detaylandırmasıyla paralel. Saldırganlar, kullanıcı etkileşimi olmadan HTA kötü amaçlı yazılımını Başlangıç klasörüne sessizce bırakan RAR arşivleri teslim ediyor. Bu yöntem, kullanıcıları silahlandırılmış arşivleri açmaya ikna etmeye yönelik sosyal mühendislik taktikleriyle destekleniyor.
Rus Siber Suç Ekosisteminde Yeni Dinamikler
Recorded Future raporu, Rus siber suç ekosisteminin uluslararası kolluk kuvveti operasyonlarıyla şekillendiğini ve Kremlin’in e-suçu pasif hoşgörüden aktif yönetime kaydırdığını ortaya koyuyor. Sızdırılan sohbet analizleri, tehdit gruplarının Rus istihbarat servisleriyle bağlantılarını, veri paylaşımını ve rüşvet yoluyla dokunulmazlık sağlama yöntemlerini gösteriyor. Siber suç ekipleri ise operasyonlarını merkezsizleştirerek Batı ve yerel gözetimden kaçınıyor.
Rus hackerların bölgedeki işletmeleri hedef almadığı sürece serbestçe hareket ettiği biliniyor; ancak Kremlin, gerektiğinde bu aktörleri işe alıyor, kontrol ediyor veya çıkarları doğrultusunda yasaları seçici uyguluyor. Bu karmaşık ilişki ağı, “karanlık anlaşma” olarak adlandırılan ticari, siyasi ve istihbarat amaçlı işbirliklerine işaret ediyor.