Siber güvenlik firması ESET, Rusya bağlantılı Gamaredon adlı APT (gelişmiş sürekli tehdit) grubunun Ukrayna’ya karşı gerçekleştirdiği siber casusluk faaliyetlerinde önemli bir artış gözlemlendiğini açıkladı. 2024 yılı boyunca devam eden faaliyetlerde grubun gelişmiş araçlar ve yeni dağıtım teknikleri kullandığı belirtildi.

Gamaredon’un, hedef odaklı kimlik avı (spearphishing) yöntemleriyle Ukrayna’daki kamu kurumlarını ve belirli bireyleri hedef aldığı kaydedildi. ESET tarafından yayımlanan rapora göre grup, kötü amaçlı yazılım yüklemek amacıyla zararlı arşivler (RAR, ZIP, 7z) ve XHTML dosyaları gibi çeşitli dosya türlerini e-posta yoluyla iletti. Bazı kampanyalarda ise doğrudan bağlantı içeren e-postalar tercih edildi.

2024 yılında kullanılan yöntemler arasında PowerShell komutlarının doğrudan belirli alan adları üzerinden çalıştırılması ve bu yolla geleneksel güvenlik önlemlerinin aşılması dikkat çekti. Ayrıca, grubun saldırılarında kullandığı araç setinde çeşitli güncellemeler yapıldığı, özellikle gizlenme, kalıcılık ve ağ içinde yatay hareket kabiliyetlerinin geliştirildiği bildirildi.

ESET araştırmacıları, grubun bazı durumlarda propaganda amaçlı içerik yaymak için zararlı yazılım kullandığını da tespit etti. Temmuz 2024’te gözlemlenen bir saldırıda, zararlı yazılımın kullanıcıyı otomatik olarak Rusya yanlısı mesajlar paylaşan bir Telegram kanalına yönlendirdiği belirtildi.

Gamaredon’un, ağ tabanlı savunmaları aşmak için hızlı DNS değişiklikleri yaptığı ve C&C (komuta ve kontrol) altyapısını gizlemek amacıyla Telegram, Dropbox ve Cloudflare gibi üçüncü taraf servisleri kullandığı da raporda yer aldı.

Grubun, 2013’ten bu yana Ukrayna’yı hedef aldığı, 2024 yılında ise faaliyetlerinin sadece Ukrayna’ya odaklandığı ifade edildi. Uzmanlara göre, grubun saldırı kapasitesi zaman zaman sınırlansa da yeni teknikler geliştirme konusundaki ısrarı, tehdit seviyesini yüksek tutuyor.