2025’in başlarında Rusya bağlantılı APT29 (Cozy Bear) grubu, Avrupa’daki diplomatik hedeflere yönelik yeni bir siber saldırı kampanyası yürüttü. GRAPELOADER adlı zararlı yazılımı dağıtmak için bu kez ilginç bir yöntem tercih edildi: Sahte şarap tadımı davetiyeleri. Bu sosyal mühendislik taktiğiyle kullanıcıların dikkatini çeken grup, zararlı içeriği barındıran ZIP dosyalarını e-posta yoluyla göndererek sisteme sızmayı başardı.
GRAPELOADER ile Gizli ve Kalıcı Erişim
Kampanya kapsamında hedef alınan kişilere gönderilen e-postalarda, diplomatik çevrelerde yaygın olan şarap tadımı etkinlikleri taklidi yapıldı. Mesaj ekinde bulunan ZIP dosyası açıldığında, içerdiği LNK dosyası üzerinden GRAPELOADER yükleniyor. Bu zararlı yazılım, sisteme kalıcı erişim sağlamak ve diğer tehdit unsurlarını yüklemek için kullanılıyor.
GRAPELOADER, özellikle gizlilik ve kalıcılık üzerine tasarlanmış bir yükleyici olarak tanımlanıyor. Elde edilen bilgilere göre, yazılım yükleme işlemini genellikle kullanıcı dikkatini çekmeyecek şekilde arka planda yürütüyor. Bu durum, kurban sistemlerde uzun süre tespit edilmeden kalabilmesine neden oluyor.
APT29
APT29’un Taktikleri Gelişiyor
APT29’un yeni saldırısı, grubun hem teknik hem de sosyal mühendislik becerilerini geliştirdiğini gösteriyor. Daha önce sağlık kuruluşları ve hükümet siteleri gibi kritik alanları hedef alan grup, bu kez kültürel ve diplomatik bir örtü altında saldırılarını gerçekleştirdi. Özellikle ZIP arşivleri içinde LNK (kısayol) dosyaları kullanmaları, geleneksel antivirüs çözümlerinden kaçınmalarına olanak sağlıyor.
Uzmanlar, kullanıcıların bu tür sosyal mühendislik girişimlerine karşı daha dikkatli olması gerektiğini vurguluyor. Kurumların da şüpheli ekleri açmadan önce e-posta içeriklerini doğrulaması, sistemlerin güvenliği açısından kritik önem taşıyor. GRAPELOADER saldırısı, devlet destekli tehdit aktörlerinin sofistike ve aldatıcı yöntemlerle çalıştığını bir kez daha gözler önüne serdi.
APT29’dan Şarap Tadımı Kılıklı Siber Saldırı yazısı ilk önce BeeTekno yayınlanmıştır.