Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Gelişmiş Sürekli Tehdit (APT) GREYVIBE Tehdit Aktörü

GREYVIBE Tehdit Aktörü

Mezo'de Gelişmiş Sürekli Tehdit (APT), Kötü amaçlı yazılım'de
Çevir:

GREYVIBE olarak bilinen ve daha önce kimliği belirlenmemiş bir tehdit aktörü, en az Ağustos 2025'ten beri Ukrayna'yı ve ülkeyle bağlantılı kuruluşları hedef alan sürekli bir siber casusluk kampanyasıyla ilişkilendirildi. Analizler, grubun öncelikle Rusya saat diliminde faaliyet gösterdiğini ve Rusça iletişim kurduğunu gösteriyor. Faaliyetleri, özellikle devam eden Rus-Ukrayna çatışmasıyla ilgili istihbarat toplama çabaları olmak üzere, Rus devletinin çıkarlarıyla yakından örtüşüyor.

GREYVIBE, askeri kurumlar, devlet kurumları, sivil örgütler ve özel işletmeler de dahil olmak üzere geniş bir yelpazedeki sektörleri hedef almıştır. Grubun faaliyetleri ulus devlet faaliyetleriyle ilişkilendirilen özellikler gösterirken, kanıtlar aynı zamanda mevcut veya eski siber suçlular olduğuna inanılan kişiler aracılığıyla daha geniş Rus siber suç ortamıyla bağlantılar olduğunu da göstermektedir.

Çeşitli Enfeksiyon Yöntemleri ve Özel Kötü Amaçlı Yazılım Cephaneliği

Saldırgan, kurbanları ele geçirmek için çeşitli dağıtım mekanizmaları kullanmaktadır. Bunlar arasında son derece hedefli oltalama kampanyaları, aldatıcı CAPTCHA doğrulama sayfaları ve sahte Ukrayna temalı yetişkin eğlence web siteleri yer almaktadır. GREYVIBE, faaliyetleri boyunca tespit edilmekten kaçınmak ve ele geçirilen sistemlere erişimi sürdürmek için sürekli olarak dahili olarak geliştirilmiş kötü amaçlı yazılımlara, yükleyicilere ve gizleme araçlarına güvenmektedir.

Birkaç farklı saldırı stratejisi gözlemlenmiştir:

  • PhantomMail, Google Drive ve 4sync'te barındırılan bağlantılar içeren hedefli kimlik avı e-postaları aracılığıyla kötü amaçlı ZIP ve RAR arşivleri dağıtır. Bu arşivler, sistem keşfi ve uzaktan komut yürütme yeteneğine sahip PowerShell tabanlı bir uzaktan erişim truva atı (RAT) olan PhantomRelay'i dağıtırken yanıltıcı belgeleri başlatan JavaScript yükleyicileri içerir.
  • PhantomClick, Zoom ve LAPAS gibi hizmetleri taklit eden alan adlarında barındırılan ClickFix tarzı sahte CAPTCHA sayfalarından yararlanır. Kurbanlar, PhantomRelay enfeksiyon zincirini tetikleyen komutları yürütmeye yönlendirilir.
  • PrincessClub, Android cihazlarda FallSpy casus yazılımını ve Windows sistemlerinde PhantomRelayV1 veya LegionRelay'i dağıtmak için sahte Ukrayna yetişkin kulübü web sitelerini kullanıyor. Bu web sitelerinin daha sonraki sürümleri, kurbanların ses ve videolarını yakalamak için WebRTC tabanlı canlı arama işlevini içeriyordu. FallSpy, enfekte olmuş Android cihazlardan hassas bilgiler toplayabilirken, LegionRelay dosya keşfi, veri hırsızlığı, ekran görüntüsü yakalama, tarayıcı kimlik bilgisi çıkarma, Telegram ve WhatsApp veri toplama ve Uzaktan Masaüstü Protokolü (RDP) yapılandırmasını destekliyor. PhantomRelayV1, özel bir izleme mekanizması ekleyerek orijinal PhantomRelay'i genişletiyor.
  • DroneLink, Ukrayna Silahlı Kuvvetlerini destekleyen hayır kurumları kılığında faaliyet gösteriyor ve LegionRelay ile birlikte WireGuard'ı dağıtıyor.
  • Nebo, büyük olasılıkla Ukrayna askeri personelini meşru bir Rus askeri sistemine eriştiklerine inandırmak amacıyla, Rusça giriş portalı kılığında bir FallSpy varyantı konuşlandırdı.

Yapay Zeka, Güç Çarpanı Olarak

GREYVIBE'ın faaliyetlerinin en dikkat çekici yönlerinden biri, saldırı yeteneklerini geliştirmek için üretken yapay zekâya ve büyük dil modellerine olan belirgin bağımlılığıdır. Kanıtlar, grubun görüntü oluşturma, kötü amaçlı yazılım geliştirme, komut dosyası gizleme, arka uç altyapı oluşturma ve saldırı sonrası operasyonlarda yardımcı olmak için Ideogram AI, OpenAI ChatGPT ve Google Gemini gibi platformları kullandığını göstermektedir.

Yapay zeka destekli bu yaklaşım, çeşitli operasyonel avantajlar sunmaktadır. Teknik beceri eksikliklerini gidermeye, geliştirme döngülerini hızlandırmaya ve daha önce tanımlanmış kötü amaçlı yazılım ailelerine ve bunların belirlenmesini kolaylaştırabilecek araçlara olan bağımlılığı azaltmaya yardımcı olur.

Siber operasyonlarda yapay zekanın artan kullanımı, savunmacılar için önemli bir zorluk teşkil etmektedir. Tehdit aktörleri, araç setlerinin bileşenlerini hızla oluşturabilir, değiştirebilir veya yenileriyle değiştirebilir; bu da istikrarlı teknik göstergelere ve tekrarlayan kötü amaçlı yazılım izlerine dayanan geleneksel ilişkilendirme yöntemlerinin etkinliğini azaltır.

Operasyonel Zayıflıklar Gelişim Açıklarını Ortaya Koyuyor

Yapay zekâ destekli geliştirmeden faydalanmasına rağmen, GREYVIBE'ın operasyonel güvenlik açısından birçok açığı olduğu ortaya çıktı. Araştırmacılar, LegionRelay'de arka uç işlevselliğini istemeden açığa çıkaran tasarım hataları tespit ederek, kötü amaçlı yazılımın iç işleyişine dair bilgi edindiler.

Bu tür hatalar, son derece gelişmiş devlet destekli aktörler arasında genellikle nadirdir; bu da GREYVIBE'ın geleneksel bir istihbarat servisi operasyonunu temsil etmeyebileceğini düşündürmektedir. Bunun yerine, grup düşük ila orta düzeyde teknik yetkinliğe sahip gibi görünürken, yapay zeka teknolojilerini kullanarak doğal beceri seviyesinin ötesinde yeteneklerini geliştirmektedir.

Siber Suçlularla Bağlantı Göstergeleri

Çeşitli bulgular, GREYVIBE'ın daha geniş Rus siber suç ekosistemiyle bağlantılarını sürdürdüğünü göstermektedir:

  • TrickBot çetesi ve UAC-0098 ile bağlantılı olduğundan şüphelenilen bir ISO oluşturma yardımcı programına erişim veya bu programın kullanımı.
  • Görünüşte birbiriyle ilgisiz siber suç kampanyaları içinde PhantomRelay varyantlarının tespit edilmesi, bunlar arasında Temmuz 2025 ile Şubat 2026 arasında gerçekleştirilen Microsoft Teams sesli kimlik avı operasyonları ve Şubat ile Mart 2026 arasında gözlemlenen ve ClickFix tekniklerini kullanan KongTuke dağıtım kampanyaları yer almaktadır.
  • Geliştirme ve test aşamasının ilk evrelerine ait örneklerin yüklenmesi.
  • Geliştirme aşamasındaki dokümanların adlandırılmasında 'letsrollboyos', 'totallyunsus' ve 'cuteuwu' gibi gayri resmi internet argo ifadelerinin kullanılması.
  • XMRig kripto para madenciliği yazılımının, LegionRelay virüsü bulaşmış sınırlı sayıda sisteme kurulumu.

Bu göstergeler, GREYVIBE'ın siber suç ağlarıyla anlamlı bağları olduğuna dair orta düzeyde güven değerlendirmesini ve bazı üyelerinin şu anda veya geçmişte siber suç faaliyetlerine karışmış olabileceğine dair düşük ila orta düzeyde güven değerlendirmesini desteklemektedir.

Devlet ve Suç Faaliyetleri Arasındaki Sınırın Bulanıklaşması

GREYVIBE'ın Rus devletiyle olan ilişkisinin kesin doğası belirsizliğini koruyor. Siber suçlu personelin devlet destekli bir örgüte entegre edilmesi, devlet tarafından yönlendirilen görevleri yerine getiren bağımsız operatörler veya suç ve devlet bağlantılı unsurları birleştiren hibrit bir yapının oluşturulması da dahil olmak üzere çeşitli olasılıklar mevcut.

Sonuç olarak, GREYVIBE geleneksel siber suçlar ve hükümet bağlantılı siber operasyonlar arasında karmaşık bir alanda yer almaktadır. Bu örtüşme, faillerin belirlenmesini zorlaştırmakta ve mali motivasyonlu siber suç faaliyetleri ile devlet destekli istihbarat operasyonları arasındaki giderek bulanıklaşan sınırları vurgulamaktadır.

trend

LinkedIn İş Birliği E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
LinkedIn iş birliği dolandırıcılığının arkasındaki siber suçlular, alıcıları profesyonel bir iş sorgusu gibi görünen bir e-posta ile kandırmaya çalışıyor. E-postalar, Storex Trading Ltd.'den 'Jonathan Spriggs' adlı bir alıcıdan geldiğini iddia ediyor; bu kişi alıcıyı LinkedIn aracılığıyla bulduğunu ve 12.000 adetlik büyük bir ürün siparişi hakkında görüşmek istediğini söylüyor. Mesajın gerçekçi...

Microsoft Outlook E-posta İstemciniz Güncel Değil -...

Kimlik avı, İstenmeyen e-posta
"Microsoft Outlook E-posta İstemciniz Güncel Değil" başlıklı e-postalar, Microsoft Outlook'tan gelen resmi güvenlik bildirimleri gibi görünmek üzere tasarlanmış kimlik avı mesajlarıdır. E-postalar, alıcılara e-posta istemcilerinin güncel olmadığını ve hemen güncelleme yapılmaması durumunda e-postaların, kişilerin, takvimlerin, toplantıların ve diğer önemli hesap verilerinin kaybolabileceğini...

En çok görüntülenen

Yükleniyor...