Siber güvenlik şirketi ESET, Rus APT grubu Gamaredon’un gelişmiş araçlarla Ukrayna’ya karşı spearphishing kampanyaları yürüttüğünü duyurdu.
ESET Research tarafından yayınlanan bir rapora göre, Gamaredon’un siber casusluk araç seti güncellendi ve 2024 yılı boyunca belirli kişi, şirket veya departmanları hedef alan spearphishing operasyonları gözlemlendi. Ukrayna Güvenlik Servisi (SSU), Gamaredon’u Rusya Federal Güvenlik Servisi’nin (FSB) 18. Bilgi Güvenliği Merkezi’ne bağlıyor. Grup, en az 2013’ten beri Ukrayna devlet kurumlarını hedef alıyor ve 2024 yılında sadece Ukrayna kurumlarına saldırdı.
Gamaredon’un kimlik avı faaliyetleri 2024’ün ikinci yarısında yoğunlaştı. Kampanyalar genellikle art arda bir ila beş gün sürdü ve e-postalarda kötü amaçlı arşivler veya HTML kaçakçılığı teknikleri kullanan XHTML dosyaları yer aldı. Ekim 2024’te, Gamaredon’un spearphishing e-postalarına ek yerine kötü amaçlı köprüler eklediği görüldü. Ayrıca, PowerShell komutlarını doğrudan Cloudflare tarafından oluşturulan alan adlarından çalıştırmak için kötü amaçlı LNK dosyaları kullanıldığı tespit edildi.
ESET araştırmacısı Zoltán Rusnák, Temmuz 2024’te Gamaredon indiricileri tarafından teslim edilen benzersiz bir VBScript yükünün, Odessa bölgesini hedef alan Rusya yanlısı mesajlar yayan bir Telegram propaganda kanalını otomatik olarak açtığını belirtti.
Gamaredon, ağ tabanlı savunmalardan kaçmak için hızlı akan DNS tekniklerinden yararlanmaya devam etti ve etki alanlarının arkasındaki IP adreslerini sık sık değiştirdi. Grup, C&C altyapısını gizlemek ve dinamik olarak dağıtmak için Telegram, Telegraph, Codeberg, Dropbox ve Cloudflare tünelleri gibi üçüncü taraf hizmetlerine yöneldi.
Rusnák, Gamaredon’un sürekli yenilikçiliği ve spearphishing kampanyaları nedeniyle önemli bir tehdit aktörü olmaya devam ettiğini ve Rusya’nın Ukrayna’ya karşı savaşı devam ettiği sürece taktiklerini geliştirmeye devam edeceğini öngördüklerini söyledi.