AGEWHEEZE Sıçanı
Siber güvenlik analistleri, tehdit aktörlerinin Ukrayna Bilgisayar Acil Durum Müdahale Ekibi'ni taklit ederek AGEWHEEZE olarak bilinen uzaktan yönetim aracını dağıttığı hedefli bir kimlik avı operasyonunu ortaya çıkardı. UAC-0255 grubuna atfedilen kampanya, alıcılara 'özel yazılım' olarak tanımlanan bir şeyi yüklemeleri yönünde çağrıda bulunan yanıltıcı e-postaları 26 ve 27 Mart 2026 tarihlerinde gönderdi.
Bu e-postalar, Files.fm'de barındırılan parola korumalı bir ZIP arşivine bağlantılar içeriyordu. CERT_UA_protection_tool.zip adlı arşiv, meşru bir güvenlik aracı olarak tanıtılmış ancak bunun yerine kötü amaçlı yazılımlar içeriyordu. Bazı mesajlar, sahte 'incidents@cert-ua.tech' adresinden gönderilmişti ve bu da gerçeklik yanılsamasını daha da güçlendiriyordu.
İçindekiler
Hedef Profili ve Saldırı Menzili
Operasyon geniş bir yelpazeyi kapsayarak, ulusal altyapı ve kamu hizmetleri için kritik öneme sahip çeşitli kuruluşları hedef aldı. Bunlar arasında şunlar yer alıyordu:
- Hükümet ve devlet kurumları
- Tıp ve sağlık hizmetleri
- Güvenlik ve savunma ile ilgili şirketler
- Eğitim kuruluşları
- Finans kuruluşları
- Yazılım geliştirme firmaları
Geniş kapsamlı hedefleme stratejisine rağmen, kampanyanın genel etkinliği sınırlı görünüyor. Sadece az sayıda enfeksiyon doğrulandı ve bunlar çoğunlukla eğitim kurumlarındaki çalışanların kişisel cihazlarını etkiledi.
AGEWHEEZE’nin İç Yapısı: Yetenekler ve Kalıcılık Mekanizmaları
AGEWHEEZE, kapsamlı sistem kontrolü ve gözetimi için tasarlanmış, Go tabanlı bir uzaktan erişim truva atıdır. Dağıtıldıktan sonra, WebSocket protokollerini kullanarak 54.36.237.92 adresindeki komuta ve kontrol sunucusuyla iletişim kurar.
Bu kötü amaçlı yazılım, saldırganların aşağıdakiler de dahil olmak üzere çok çeşitli kötü amaçlı faaliyetler gerçekleştirmesine olanak tanır:
- Rastgele komutları yürütme ve sistem süreçlerini yönetme
- Dosya işlemleri gerçekleştirmek ve depolanmış verileri manipüle etmek.
- Ekran görüntüleri yakalama ve kullanıcı etkinliğini izleme
- Fare ve klavye girişlerini taklit etme
- Pano içeriğini değiştirme
- Zamanlanmış görevler, Windows Kayıt Defteri değişiklikleri veya Başlangıç dizinine yerleştirme yoluyla kalıcılığın sağlanması.
Bu özelliklerin birleşimi, AGEWHEEZE'i casusluk, yatay hareket ve uzun vadeli sistem tahribatı için çok yönlü bir araç haline getiriyor.
Aldatıcı Altyapı ve Yapay Zeka Destekli Üretim
Sahtekarlık amaçlı kullanılan 'cert-ua.tech' alan adına yönelik soruşturma, otomatik veya yapay zeka destekli geliştirme belirtilerini ortaya çıkardı. Web sitesinin HTML kaynak kodunda Rusça olarak dikkat çekici bir yorum yer alıyordu: 'С Любовью, КИБЕР СЕРП' ('Sevgilerle, CYBER SERP'), bu da kendisini Cyber Serp olarak adlandıran bir gruba ait olduğunu düşündürüyor.
Cyber Serp, Kasım 2025'te kurulan ve 700'den fazla aboneye ulaşan Telegram kanalı aracılığıyla Ukrayna siber yeraltı çevreleriyle bağlantılı olduğunu iddia etti. Grup, kimlik avı kampanyasının bir milyona kadar e-posta hesabını hedef aldığını ve 200.000'den fazla cihazın ele geçirilmesine yol açtığını kamuoyuna açıkladı; bu rakamlar bağımsız değerlendirmelerin önemli ölçüde üzerinde.
Çelişkili İddialar ve Daha Geniş Kapsamlı Tehdit Faaliyetleri
Cyber Serp, sıradan vatandaşların faaliyetlerinden etkilenmeyeceğini iddia ederek, seçici bir aktör olarak kendini konumlandırmaya çalıştı. Ancak bu tür açıklamalar, büyük ölçekli kimlik avı kampanyalarının ayrım gözetmeyen doğasıyla tutarsızdır.
Ayrı bir olayda, grup Cipher'ı ihlal ettiklerini ve sunucu verilerine, istemci veritabanlarına ve tescilli kaynak koduna erişim sağladıklarını iddia ederek sorumluluğu üstlendi. Cipher daha sonra bir çalışanın kimlik bilgilerini içeren sınırlı bir güvenlik açığını doğruladı, ancak şunları vurguladı:
- Temel altyapı güvenli ve çalışır durumda kaldı.
- Etkilenen hesabın yalnızca tek bir, hassas olmayan projeye erişimi vardı.
Bu tutarsızlık, tehdit aktörleri arasında yaygın bir taktiği, yani algılanan etkiyi ve güvenilirliği artırmak için etkiyi abartmayı vurgulamaktadır.
Değerlendirme ve Güvenlik Etkileri
Bu kampanya, özellikle güvenilir ulusal siber güvenlik kuruluşlarından yararlanıldığında, kimlik taklit taktiklerinin devam eden etkinliğini göstermektedir. Anlık etki kontrol altında tutulmuş olsa da, AGEWHEEZE'nin teknik gelişmişliği ve dağıtım girişimlerinin ölçeği, kalıcı ve gelişen bir tehdit ortamına işaret etmektedir.
Kuruluşlara, e-posta doğrulama süreçlerini güçlendirmeleri, istenmeyen ekleri incelemeleri ve personeli yetkili kurumları hedef alan taklit girişimlerini tanıma konusunda eğitmeleri tavsiye edilmektedir.
