Son raporlara göre, Rusya kaynaklı siber saldırganlar artık sadece geleneksel oltalama yöntemleriyle sınırlı kalmayıp, yapay zeka destekli zararlı yazılımlar geliştirerek saldırılarını daha sofistike hale getiriyor. SSSCIP’in verilerine göre 2024’ün ikinci yarısına kıyasla siber olaylarda belirgin bir artış gözlemlendi; özellikle yerel yönetimler ve askeri birimler hedef alınıyor.
WRECKSTEEL ve Yapay Zeka Tabanlı Veri Hırsızlığı
UAC-0219 grubunun kullandığı PowerShell tabanlı WRECKSTEEL zararlısı, yapay zeka araçlarıyla geliştirildiğine dair güçlü kanıtlar sunuyor. Bu zararlı, devlet kurumları ve kritik altyapı tesislerine yönelik veri hırsızlığı faaliyetlerinde bulunuyor.
Çeşitli Oltalama Kampanyaları ve Hedefler
UAC-0218, UAC-0226 ve UAC-0227 gibi gruplar, savunma sanayi, yerel yönetimler ve kolluk kuvvetlerine yönelik farklı oltalama kampanyaları yürütüyor. Bu kampanyalarda tuzaklı RAR arşivleri, ClickFix taktikleri ve SVG dosya ekleri kullanılarak HOMESTEEL, GIFTEDCROOK, Amatera Stealer ve Strela Stealer gibi zararlılar dağıtılıyor.
Sıfır Tıklamalı Saldırılar ve Webmail Açıkları
APT28 (UAC-0001) aktörleri, Roundcube ve Zimbra webmail yazılımlarındaki kritik güvenlik açıklarını (CVE-2023-43770, CVE-2024-37383, CVE-2025-49113, CVE-2024-27443, CVE-2025-27915) kullanarak sıfır tıklamalı saldırılar gerçekleştiriyor. Bu saldırılar, kimlik bilgileri ve e-posta içeriklerinin saldırgan kontrolündeki posta kutularına yönlendirilmesini sağlıyor.
Meşru Platformların Kötüye Kullanımı
Rus tehdit aktörleri, Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram ve benzeri meşru hizmetleri zararlı yazılım barındırmak ve veri sızdırmak için kullanıyor. Bu taktik, meşru çevrimiçi kaynakların kötü amaçlarla kullanımının giderek yaygınlaştığını gösteriyor.
SSSCIP, Rusya’nın hibrit savaş stratejisi kapsamında siber operasyonlarını sahadaki kinetik saldırılarla entegre ettiğini ve Sandworm (UAC-0002) grubunun enerji, savunma ve araştırma sektörlerine yönelik saldırılarını sürdürdüğünü vurguluyor.