PLUGGYAPE Kötü Amaçlı Yazılımı
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), ulusal savunma kuruluşlarını hedef alan yeni bir siber operasyon dalgasını ortaya çıkardı. Ekim ve Aralık 2025 tarihleri arasında gözlemlenen bu saldırılar, daha önce belgelenmemiş PLUGGYAPE adlı bir kötü amaçlı yazılım türünü içeriyor. Bu kampanya, Ukrayna hedeflerine yönelik hem sosyal mühendislik taktiklerinde hem de teknik gelişmişlikte devam eden bir evrimi vurguluyor.
İçindekiler
Tehdit Aktörü Profili ve Atıf
Bu faaliyet, orta düzeyde güvenilirlikle, Void Blizzard, Laundry Bear veya UAC-0190 olarak da bilinen Rusya yanlısı bir hacker grubuyla ilişkilendirilmiştir. İstihbarat değerlendirmeleri, grubun en az Nisan 2024'ten beri aktif olduğunu göstermektedir. Son operasyonları, askeri ve savunma ile ilgili ortamlara odaklandıklarını ortaya koymaktadır.
İlk Erişim Sürecinin Temelinde Sosyal Mühendislik
Bulaşma zinciri, güvenlik açıklarından değil, aldatmacadan başlar. Tehdit aktörleri, Signal ve WhatsApp gibi yaygın olarak güvenilen anlık mesajlaşma platformları aracılığıyla iletişime geçerler. Yardım kuruluşlarının temsilcileri gibi davranarak, kurbanları harthulp-ua.com ve solidarity-help.org gibi alan adları da dahil olmak üzere sahte insani yardım web sitelerine yönlendiren bağlantıları açmaya ikna ederler. Bu siteler, meşru vakıfları taklit eder ve kötü amaçlı yazılım içeren şifre korumalı arşivler barındırır.
Saldırganlar giderek daha çok Ukraynalı mobil operatörlerle bağlantılı, ele geçirilmiş veya ikna edici şekilde hazırlanmış hesaplara başvuruyor. İletişim Ukraynaca olarak gerçekleştiriliyor ve sesli veya görüntülü aramaları içerebiliyor. Birçok durumda, saldırgan kurbanın geçmişi, organizasyonu ve operasyonel bağlamı hakkında ayrıntılı bilgi sahibi olduğunu göstererek sosyal mühendislik çabalarının başarısını önemli ölçüde artırıyor.
PLUGGYAPE’in İç Yüzü: Kötü Amaçlı Yazılım Yetenekleri ve Evrimi
İndirilen arşivler, PyInstaller ile oluşturulmuş ve PLUGGYAPE arka kapısını kuran bir çalıştırılabilir dosya içerir. Python dilinde yazılmış olan bu kötü amaçlı yazılım, operatörlerin enfekte sistemlerde uzaktan rastgele kod çalıştırmasına olanak tanır. Zamanla, daha yeni varyantlar, sanallaştırılmış veya araştırma ortamlarında çalıştırılmasını önlemek için tasarlanmış daha güçlü gizleme teknikleri ve analiz karşıtı mekanizmalar içermiştir.
PLUGGYAPE, operatörleriyle WebSocket bağlantıları kullanarak iletişim kurar ve Aralık 2025 itibarıyla MQTT protokolünü de destekleyerek esnekliğini ve dayanıklılığını artırır. Bu iletişim kanalı, ele geçirilen sunucular üzerinde sürekli kontrol sağlar ve saldırganlar tarafından hızlı görevlendirmeyi kolaylaştırır.
Komuta ve Kontrol Dayanıklılığı ve Operasyonel Güvenlik
Saldırganlar, kontrol sunucusu adreslerini doğrudan kötü amaçlı yazılıma yerleştirmek yerine, rentry.co ve pastebin.com gibi halka açık paste servislerinden Komuta ve Kontrol uç noktalarını alırlar. Bu adresler base64 kodlu biçimde saklanır ve saldırganların kötü amaçlı yazılımı yeniden dağıtmadan altyapıyı hızla değiştirmelerini sağlar. Bu yaklaşım, bilinen sunucuların keşfedilmesi ve bozulması durumunda operasyonel sürekliliği artırırken, imha çabalarını da zorlaştırır.
Mesajlaşma Tabanlı Tehdit İletimine Doğru Daha Geniş Bir Geçiş
CERT-UA, hem mobil cihazlarda hem de kişisel bilgisayarlarda popüler mesajlaşma uygulamalarının siber tehditlerin yayılması için hızla birincil kanallar haline geldiğini vurguluyor. Yaygınlıkları, kullanıcı güveni ve gerçek zamanlı etkileşimleriyle birleştiğinde, kötü amaçlı araçların dağıtılması ve kurbanların manipüle edilmesi için özellikle etkili platformlar haline geliyorlar.
