Haber Detayı
Ukraynada casus yazılımlarla ortaya çıktı
Siber güvenlik uzmanları, yakın zamanda Sednitin modern araç seti aracılığıyla yeniden faaliyete geçtiğini tespit etti. Bu araç seti, dayanıklılık için her biri farklı bir bulut sağlayıcı kullanan BeardShell ve Covenant adlı iki eşleştirilmiş implantı merkezine alıyor.
Sednit faaliyetleri, Nisan 2024te CERT-UA tarafından Ukrayna hükümetine ait bir makinede keşfedilen bir casusluk implantı olan SlimAgent ile başlıyor.
SlimAgent, tuş vuruşlarını kaydetme, ekran görüntüsü alma ve panoya verileri toplama yeteneğine sahip basit ama etkili bir casusluk aracı.
SlimAgenta benzer kodlara sahip ve daha önce bilinmeyen örnekler tespit edildi.Bu örnekler, Ukrayna vakasından altı yıl önce, 2018 yılında iki Avrupa ülkesindeki devlet kurumlarına karşı kullanılmıştı.
Dolayısıyla SlimAgent, en az 2018 yılından beri bağımsız bir bileşen olarak kullanılan Xagent keylogger modülünün bir evrimi gibi görünüyor.
Xagent, Sednit grubu tarafından altı yıldan fazla bir süredir özel olarak kullanılan bir araç seti.SlimAgent, 2024 yılında Ukraynadaki makinede bulunan tek implant değildi; Sednitin özel cephaneliğine çok daha yakın zamanda eklenen BeardShell de burada kullanılmıştı.
BeardShell, .NET çalışma zamanı ortamında PowerShell komutlarını yürütebilen sofistike bir implant ve meşru bulut depolama hizmeti Icedriveı Komuta ve Kontrol kanalı olarak kullanıyor.
Nadir bir gizleme tekniğinin ortak kullanımı ve SlimAgent ile aynı yerde bulunması, BeardShellin Sednitin özel cephaneliğinin bir parçası olduğunu yüksek güvenle değerlendirmesine yol açmaktadır.İlk 2024 vakasından bu yana, Sednit BeardShelli 2025 ve 2026 yıllarında, öncelikle Ukrayna askeri personelini hedef alan uzun vadeli casusluk operasyonlarında kullanmaya devam etti.
Bu yüksek değerli hedeflere sürekli erişim sağlamak için Sednit, BeardShellin yanı sıra sistematik olarak başka bir implant da kullanıyor: Modern silahlarının son bileşeni olan Covenant.
Covenant, açık kaynaklı bir .NET post-eksploitasyon çerçevesi ve 90dan fazla yerleşik görev sunarak veri sızdırma, hedef izleme ve ağ pivoting gibi yetenekleri destekler.2023ten bu yana, Sednit geliştiricileri Covenantı birincil casusluk implantı olarak kurmak için bir dizi değişiklik ve deney yaptı.
BeardShelli, Covenantın bulut tabanlı altyapısının devre dışı bırakılması gibi operasyonel sorunlarla karşılaşması durumunda yedek olarak tuttu.Sednit, özellikle Ukraynadaki seçilmiş hedefler karşısında, birkaç yıldır Covenanta başarıyla güveniyor.
Örneğin, 2025 yılında Sednit tarafından kontrol edilen Covenant bulut sürücülerini analiz ettiğimizde altı aydan uzun süredir izlenen makineler ortaya çıktı.
CERT UAnın bildirdiğine göre, Sednit Ocak 2026da CVE 2026 21509 güvenlik açığını kullanan bir dizi spearphishing kampanyasında da Covenantı kullandı.
