8 Ekim 2025’te siber güvenlik araştırmacıları, Ukrayna’nın savaş yardımı ve yeniden yapılanma çabalarıyla bağlantılı çeşitli kuruluşları hedef alan karmaşık bir kimlik avı kampanyasını ortaya çıkardı. PhantomCaptcha adı altında tanımlanan kampanya, Birleşmiş Milletler Çocuklara Yardım Fonu’nun (UNICEF) Ukrayna ofisi, Norveç Mülteci Konseyi, Avrupa Konseyi’nin Ukrayna’ya Zarar Kaydı ve Donetsk, Dnipropetrovsk, Poltava ve Mykolaiv’deki bölgesel hükümet idareleri gibi yardım kuruluşlarını hedef alıyordu.
Araştırmacılar SentinelOne , saldırganların sahte işe alım mesajlarından yararlandığını ve bubi tuzaklı PDF dosyaları ve kurbanları kötü amaçlı uzaktan erişim truva atlarına (RAT’ler) yönlendiren sahte bağlantılar içeren sahte resmi iletişimlerden yararlandığını bildirdi. Kampanya, sosyal mühendislik ve gelişmiş kötü amaçlı yazılımları özellikle hedefli bir şekilde harmanlıyor.
Kampanyada çoğunlukla, diğer yetkili kaynakların yanı sıra Ukrayna Cumhurbaşkanı’nın ofisinden geliyormuş gibi görünen iyi hazırlanmış e-postalar kullanıldı. E-postalar, gömülü bir bağlantı içeren PDF belgelerini ekledi. Bağlantı tıklandığında, kurbanı meşru bir video konferans platformu gibi görünen sahte bir “captcha” sayfasına (zoomconference.app) yönlendirdi. Bu sayfa daha sonra uzak bir sunucuya WebSocket bağlantısını tetikledi ve kötü amaçlı yazılım yüklemesine yol açan bir PowerShell komutu yükledi.
Kurban PowerShell komutunu çalıştırdıktan sonra, ilk aşama indirici uzak bir sunucudan ikincil bir yük aldı. Bu yükün, saldırgan tarafından kontrol edilen altyapıya yüklenen özel bir WebSocket tabanlı RAT olduğu ortaya çıktı. Bu kötü amaçlı yazılım, tehdit aktörüne tam uzaktan kontrol sağlayarak dosya hırsızlığına, izlemeye ve daha fazla yük dağıtımına olanak sağladı.
İlginç bir şekilde, video konferans cazibesinin ardındaki sahte alan adı, Mart 2025’teki alan adı kayıtları da dahil olmak üzere birkaç ay süren hazırlık çalışmalarının aksine, kaybolmadan önce yalnızca tek bir gün aktifti. Bu, saldırganların yüksek operasyonel güvenlik ve uzun vadeli planlama yaptığını gösteriyor.
Yardım grupları hedef haline geldi
Bunlar sadece rastgele kurbanlar değil. Hedef alınan taraflar, Ukrayna’nın savaştan etkilenen bölgelerinde faaliyet gösteren veya bu bölgeleri destekleyen, önemli uluslararası riske, finansal akışlara ve bağışçı verilerine sahip kuruluşlardır. Ağlarına erişim, saldırganlara değerli istihbarat sağlayabilir veya daha fazla izinsiz giriş için kaldıraç sağlayabilir.
Tehdit araştırmacıları, saldırganların bir yardım grubunu ihlal ederek bağışçı listeleri, hükümet yazışmaları, mali kayıtlar ve proje verileri gibi bilgileri toplayabileceğine dikkat çekti. Bu varlıklar hem casusluk hem de mali suçlar için çekici. Hedeflerden bazılarının Rusya ile çatışmaya dahil olan bölgelerde faaliyet gösterdiği göz önüne alındığında, izinsiz giriş basit hırsızlığın ötesinde daha geniş stratejik hedeflere hizmet edebilir.
Bu kampanyayı benzersiz kılan nedir?
Binlerce e-postayı geniş çapta yayan toplu kimlik avı kampanyalarının aksine, PhantomCaptcha saldırısı son derece hedefli ve özel olarak tasarlanmış görünüyor. İlk alan adı kaydı 27 Mart 2025 civarında gerçekleşti ve bu da gerçek saldırıdan önce aylarca keşif yapıldığını gösteriyor. Saldırgan altyapısı ayrıca, kurbanlardan coğrafi konum, kişiler, arama kayıtları, medya ve yüklü uygulamaları toplayabilen Android koleksiyon uygulamaları sunmak için kullanılan bir alan adı olan “princess-mens.click”i de içeriyordu.
RAT için WebSockets, meşru görünen müdahale sayfaları ve kimlik bilgisi olmayan PowerShell zincirleri gibi büyük web teknolojilerinin kullanılması, saldırganların sosyal mühendislik, hafif komut dosyası oluşturma ve gizliliği karıştırma konusunda rahat olduklarını gösteriyor. Sahte Zoom bağlantıları ve CAPTCHA sayfalarının birleşimi, başarılı kimlik avı için iki temel bileşen olan hem aciliyet hem de meşruiyet duygusu yarattı.
Kuruluşların şimdi yapması gerekenler
Yardım kuruluşları, kar amacı gütmeyen kuruluşlar ve çatışma veya yardım bölgelerinde faaliyet gösteren herhangi bir kuruluş için bu saldırı birkaç ders sunuyor:
- İşe alım e-postalarını, özellikle de bilmediğiniz alan adlarından geldiklerinde veya ekler içerdiklerinde dikkatlice doğrulayın.
- Makroları asla etkinleştirmeyin, komut dosyası yürütmeye izin vermeyin veya güvenilir kişilerden bile beklenmedik şekilde alınan belgelerdeki bağlantıları tıklatmayın.
- Olağandışı gelen sinyalleri algılamak için cihaz kayıtlarını, kimlik doğrulayıcı uygulama kurulumlarını ve WebSocket bağlantılarını uygun ölçekte izleyin.
- Video konferans platformlarını ve bağış sistemlerini yalnızca dahili iletişim araçları olarak değil, potansiyel saldırı vektörleri olarak değerlendirin.
- Asimetrik izinsiz giriş belirtileri için cihazları, proxy günlüklerini ve uç nokta etkinliğini düzenli olarak denetleyin – saldırganların meşru kullanıcılar olarak görünebileceğini unutmayın.
Riskler yüksek olduğunda, siber güvenlik buna göre ilerlemelidir. Saldırganlar artık sadece maddi kazanç peşinde koşmuyor. Bire bir sosyal mühendislik ve özel kötü amaçlı yazılımları birleştirerek kuruluşlara sızıyorlar. Bu, savunucuların “toplu önleyici” taktiklerden “özel müdahale” stratejilerine geçmesini gerektirir.
PhantomCaptcha kampanyası, insani yardım rollerinde çalışan güvenilir kurumların bile karmaşık saldırı riski altında olduğunu kanıtlıyor. Zoom ve sahte bulut CAPTCHA kontrolleri gibi meşru görünen platformlara güvenmek, insanların güvenli olduğunu varsaydığı altyapının nasıl aleyhlerine çevrilebileceğini gösteriyor. Bu ortamda savunma yapmak varsayımla değil, sürekli doğrulamayla ilgilidir.