Özet

Slovakya merkezli siber güvenlik şirketi ESET, iki Rus hacker grubu olan Gamaredon ve Turla‘nın Ukrayna’daki hedeflere yönelik işbirliği yaptığına dair kanıtlar tespit ettiğini açıkladı.

Ana Bulgular

İşbirliği Kanıtları:

• Şubat 2025’te Gamaredon’un PteroGraphin ve PteroOdd araçlarının, Turla grubunun Kazuar backdoor’unu Ukrayna’daki bir uç noktada çalıştırmak için kullanıldığı gözlemlendi
• Son 18 ay içinde Ukrayna’da 7 makinede Turla ile ilişkili göstergeler tespit edildi
• Bu makinelerin 4’ü Ocak 2025’te Gamaredon tarafından ihlal edilmişti

Saldırı Zinciri:

1. Gamaredon, PteroGraphin aracını konuşlandırır
2. PteroGraphin, PteroOdd adlı PowerShell downloader’ını indirir
3. PteroOdd, Telegraph’tan payload alarak Kazuar’ı çalıştırır
4. Sistem Cloudflare Workers alt domain’ine veri sızdırır

Gruplar Hakkında

Gamaredon (Aqua Blizzard):

• 2013’ten beri aktif
• Öncelikle Ukrayna devlet kurumlarını hedefler
• Rus Federal Güvenlik Servisi (FSB) ile bağlantılı

Turla (Secret Blizzard):

• 2004’ten beri aktif, muhtemelen 1990’ların sonundan
• Avrupa, Orta Asya ve Orta Doğu’daki üst düzey hedefleri hedefler
• 2008’de ABD Savunma Bakanlığı’nı hacklemiş
• FSB ile bağlantılı

Teknik Detaylar

Kazuar Backdoor:

• Turla’nın temel implantlarından biri
• .NET tabanlı araç
• v2 ve v3 versiyonları aynı kod tabanını paylaşır
• v3, v2’den %35 daha fazla C# kod satırı içerir

Gamaredon Araçları:

• PteroGraphin: PowerShell aracı, Microsoft Excel eklentileri kullanır
• PteroOdd ve PteroPaste: Ek payload dağıtımı için kullanılır

Sonuç

ESET araştırmacıları, her iki grubun da FSB ile bağlantılı olduğunu ve Gamaredon’un Turla’ya ilk erişimi sağladığını yüksek güvenle değerlendirdiklerini belirtmiştir. Bu işbirliği, Rusya’nın 2022’deki Ukrayna işgalinin ardından yoğunlaşmış görünmektedir.

https://thehackernews.com/2025/09/russian-hackers-gamaredon-and-turla.html