Rusya Destekli Hackerlar, Acil Microsoft Office Yamasını İstismar Ederek Küresel Kuruluşları Ele Geçirdi

Küresel - Ekhbary Haber Ajansı

Rusya Destekli Hackerlar, Acil Microsoft Office Yamasını İstismar Ederek Küresel Kuruluşları Ele Geçirdi

Devlet destekli siber savaşın artan hızı ve karmaşıklığının çarpıcı bir göstergesi olarak, APT28 veya Fancy Bear olarak bilinen kötü şöhretli Rus destekli bir bilgisayar korsanlığı grubu, kritik bir Microsoft Office güvenlik açığını istismar etmekte hiç vakit kaybetmedi. Redmond'un geçen ay acil, plansız bir güvenlik güncellemesi yayınlamasından 48 saatten kısa bir süre sonra, tehdit aktörleri CVE-2026-21509 olarak tanımlanan bu açığı bir silaha dönüştürerek yüksek düzeyde hedeflenmiş bir kampanya başlattı. Bu cüretkar operasyon, başta Doğu Avrupa olmak üzere en az dokuz ülkedeki diplomatik, denizcilik ve ulaştırma kuruluşlarındaki cihazları başarıyla ele geçirerek, savunucuların kritik sistemleri yamalaması için giderek azalan süreyi gözler önüne serdi.

Trellix güvenlik araştırmacıları, bu hızlı istismarın ayrıntılarını açıklayarak, grubun Microsoft'un yamasını iki gün içinde tersine mühendislik yapma ve gelişmiş istismarlar geliştirme yeteneğini vurguladı. Bu istismarlar daha sonra BeardShell ve NotDoor olarak adlandırılan, daha önce hiç görülmemiş iki yeni arka kapı implantı kurdu. Kampanyanın tamamı, geleneksel uç nokta koruma önlemleriyle neredeyse tespit edilemez hale getiren teknikler kullanılarak titizlikle gizlilik için tasarlandı. Bu, istismarların ve yüklerin şifrelenmesini, bunların yalnızca bellekte çalıştırılmasını ve komuta ve kontrol için görünüşte meşru kanalların kullanılmasını içeriyordu, bu da kötü niyetlerinin tespit edilmesini son derece zorlaştırıyordu.

Bu sofistike saldırının başlangıç vektörü, genellikle çeşitli ülkelerdeki daha önce ele geçirilmiş hükümet hesaplarından kaynaklanıyordu; bu da saldırganların, hedeflenen e-posta alıcıları için muhtemelen tanıdık olan mevcut ihlalleri veya kimlik bilgilerini kullandığını gösteriyordu. Ayrıca, komuta ve kontrol altyapısı, hassas ağlarda genellikle beyaz listeye alınan meşru bulut hizmetleri içinde barındırılıyordu ve bu da kötü amaçlı trafiğin normal ağ etkinliğiyle sorunsuz bir şekilde karışmasına olanak tanıyordu. Trellix araştırmacılarının belirttiği gibi, güvenilir kanalların bu stratejik seçimi, dosyasız tekniklerle birleştiğinde, saldırganların "göz önünde gizlenmesini" sağladı.

72 saatlik hedefli kimlik avı (spear phishing) kampanyası 28 Ocak'ta başladı ve en az 29 farklı e-posta tuzağını, başta Doğu Avrupa olmak üzere dokuz ülkedeki kuruluşlara ulaştırdı. Trellix, etkilenen ülkeler arasında Polonya, Slovenya, Türkiye, Yunanistan, BAE, Ukrayna, Romanya ve Bolivya'yı özellikle belirtti. Birincil hedefler savunma bakanlıkları (saldırıların %40'ını oluşturuyor), ulaştırma ve lojistik operatörleri (%35) ve diplomatik kuruluşlar (%25) idi. Bu hedefleme profili, genellikle ulusal güvenlik ve uluslararası ilişkiler için kritik öneme sahip kuruluşlara karşı siber casusluk yapan APT28 gibi devlet destekli aktörlerle ilişkilendirilen jeopolitik hedeflerle mükemmel bir şekilde örtüşüyor.

Enfeksiyon zincirinin başarısı, BeardShell veya NotDoor'un konuşlandırılmasına yol açtı. Güçlü bir arka kapı olan BeardShell, saldırganlara kapsamlı sistem keşif yetenekleri, Windows svchost.exe'ye süreçleri enjekte ederek kalıcılık ve enfekte ağlar arasında yanal hareket için kritik bir dayanak noktası sağladı. Yürütülmesi, diskte minimum adli eser bırakmak üzere tasarlanmış bir teknik olan dinamik olarak yüklenen .NET derlemelerine dayanıyordu, bu da güvenlik ekipleri tarafından tespiti ve analizi daha da karmaşık hale getiriyordu. Bu bellekteki işlem, geleneksel güvenlik araçlarından kaçınmaya çalışan gelişmiş kalıcı tehditlerin (APT'ler) bir özelliğidir.

İkinci arka kapı olan NotDoor, bir VBA makrosu şeklinde ortaya çıktı. Yalnızca istismar zinciri Outlook'un makro güvenlik kontrollerini başarıyla devre dışı bıraktıktan sonra kuruldu – bu, saldırganların e-posta istemci güvenlik açıklarını derinlemesine anladığını gösteren kritik bir adımdır. Etkinleştirildiğinde, NotDoor, Gelen Kutusu, Taslaklar, Önemsiz Posta ve RSS Beslemeleri dahil olmak üzere e-posta klasörlerini titizlikle izledi. Daha sonra seçilen mesajları Windows .msg dosyaları halinde paketleyerek, bulut hizmeti filen.io'da barındırılan saldırgan kontrolündeki hesaplara sızdırdı. Gizli bilgileri korumak için tasarlanmış yüksek ayrıcalıklı hesaplardaki güvenlik protokollerini atlatmak amacıyla, makro özel bir "AlreadyForwarded" (Zaten Yönlendirildi) özelliğini kullandı ve "DeleteAfterSubmit" (Gönderdikten Sonra Sil) ayarını doğru (true) olarak ayarlayarak yönlendirilen mesajları Gönderilen Öğeler klasöründen etkili bir şekilde temizledi ve böylece sızma izlerini sildi.

Trellix, teknik göstergelerin ve gözlemlenen belirli hedefleme modellerinin birleşimi temelinde kampanyayı "yüksek güvenle" APT28'e atfetti. Bu atıf, saldırıları bağımsız olarak APT28'e karşılık gelen başka bir izleme adı olan UAC-0001'e bağlayan Ukrayna'nın CERT-UA'sı tarafından da doğrulandı. Fancy Bear, Sednit, Forest Blizzard ve Sofacy olarak da bilinen APT28, genellikle Rus devlet çıkarlarıyla uyumlu siber casusluk ve etki operasyonları konusunda iyi belgelenmiş bir geçmişe sahiptir. Çalışma yöntemleri genellikle sofistike çok aşamalı kötü amaçlı yazılımları, kapsamlı gizlemeyi, meşru bulut hizmetlerinin kötüye kullanılmasını ve hedeflerine ulaşmak için e-posta sistemlerinin sürekli hedeflenmesini içerir.

Bu kampanyada kullanılan yöntemler – sıfır gün (veya sıfır güne yakın) güvenlik açığının hızlı bir şekilde silaha dönüştürülmesi, yeni implantların kullanılması, dosyasız yürütme ve güvenilir kanalların istismar edilmesi – yüksek kaynaklara sahip ve gelişmiş bir düşmanın yeteneklerini yansıtmaktadır. Bu olay, dünya genelindeki kuruluşlar için zamanında yama yapmayı önceliklendirmek, bellekteki ve dosyasız saldırıları tespit etmek için tehdit algılama yeteneklerini geliştirmek ve sofistike hedefli kimlik avı girişimlerine karşı savunmaları güçlendirmek için kritik bir hatırlatıcı görevi görmektedir. Trellix gibi siber güvenlik firmaları, bu kalıcı ve gelişen düşmandan kaynaklanan potansiyel tehditleri belirlemek ve azaltmak için kuruluşlara sürekli olarak güncellenmiş ihlal göstergeleri (IOC'ler) sağlamaktadır.

Ekhbary Haber Ajansı