Sednit (APT28) geri döndü: Yeni siber saldırı dalgası

Rusya’nın en kötü şöhretli APT gruplarından biri olan Sednit ‘in yeniden ortaya çıkışı

Nisan 2024’ten bu yana, Sednit’in gelişmiş geliştirme ekibi, her biri farklı bir bulut sağlayıcı kullanarak dayanıklılık sağlayan BeardShell ve Covenant adlı iki eşleştirilmiş implantı merkezine alan modern bir araç setiyle yeniden ortaya çıktı. Bu çift implant yaklaşımı, Ukrayna askeri personelinin uzun vadeli gözetimini mümkün kıldı. İlginç bir şekilde, bu mevcut araç setleri, grubun 2010 dönemindeki implantlarıyla doğrudan bir kod bağlantısı gösteriyor.

Bu blog yazısının ana noktaları:

• ESET araştırmacıları, Sednit’in gelişmiş implant ekibinin yeniden faaliyete geçmesini, SlimAgent adlı bir keylogger’ın kullanıldığı 2024 yılında Ukrayna’da meydana gelen bir vakaya kadar izledi.
• SlimAgent kodu, Sednit’in 2010’larda kullandığı amiral gemisi arka kapısı Xagent’ten türetilmiştir.
• Bu operasyon sırasında, Sednit tarafından geliştirilen ikinci bir implant olan BeardShell kullanıldı. Bu implant, C&C kanalı olarak kullanılan meşru bir bulut sağlayıcı aracılığıyla PowerShell komutlarını yürütür.
• BeardShell, Sednit’in 2010’larda geliştirdiği ağ pivotlama aracı Xtunnel’da da bulunan kendine özgü bir gizleme tekniği kullanır.
• 2025 ve 2026 yılları boyunca Sednit, modern araç setinin üçüncü önemli parçası olan Covenant ile birlikte BeardShell’i defalarca kullanmıştır.
• Sednit, uzun vadeli casusluğu desteklemek ve başka bir meşru bulut sağlayıcısına dayalı yeni bir ağ protokolü uygulamak için bu açık kaynaklı implantı büyük ölçüde yeniden çalıştı.

Sednit profili

APT28, Fancy Bear, Forest Blizzard veya Sofacy olarak da bilinen Sednit grubu, en az 2004 yılından beri faaliyet göstermektedir. ABD Adalet Bakanlığı, grubu 2016 ABD seçimlerinden hemen önce Demokratik Ulusal Komite’nin (DNC) hacklenmesinden sorumlu gruplardan biri olarak adlandırdı ve grubu, Rus ordusunun Ana İstihbarat Müdürlüğü bünyesindeki bir Rus istihbarat ajansı olan GRU’nun 26165 Birimi ile ilişkilendirdi. Grubun, küresel televizyon ağı TV5Monde’nin hacklenmesi, Dünya Anti-Doping Ajansı’nın (WADA) e-posta sızıntısı ve diğer birçok olayın arkasında olduğu da tahmin edilmektedir.

Sednit’in gelişmiş implant ekibine ne oldu?

Sednit grubu, ele geçirilen hedefler açısından en etkileyici sicile sahip APT gruplarından biri olarak kabul edilebilir. Bilinen ele geçirme eylemleri arasında Alman parlamentosu (2015), Fransız televizyon ağı TV5Monde (2015) ve Amerika Birleşik Devletleri Demokratik Ulusal Komitesi (2016) öne çıkmaktadır.

Bu yüksek profilli saldırıların yaşandığı yıllarda Sednit, Xagent ve Sedreco gibi tam donanımlı casusluk arka kapılarından, ağ pivotlama aracı Xtunnel ve hava boşluklu makineler için veri hırsızı USBStealer gibi özel araç setlerine kadar uzanan kapsamlı bir dizi özel implant kullanmıştır. 2016 yılında, bu sofistike silah cephanesini En Route with Sednit adlı dokümanımızda kapsamlı bir şekilde belgeledik.

Ancak 2019 yılında bir değişiklik meydana geldi. O zamandan bu yana ve yakın zamana kadar, Sednit’in üst düzey implantları nadiren gözlemlendi (Trellix tarafından 2021 yılında belgelenen Graphite kötü amaçlı yazılım gibi birkaç istisna dışında). Ancak grup aynı zamanda kimlik avı operasyonlarını da artırdı. Bu kimlik avı saldırılarında kullanılan özel kötü amaçlı yazılımlar, çoğunlukla basit komut dosyası tabanlı implantlardan oluşuyordu. Bizim için hâlâ bu teknik değişimin ardındaki nedenler bir gizem.

Bu blog yazısı, 2024 yılından bu yana Sednit’in yüksek kaliteli özel silahlarının yeniden ortaya çıkışını belgelemektedir. Burada, CERT-UA ve Sekoia’nın önceki yayınlarında iç işleyişleri ele alındığı için modern araç setlerinin atfedilmesine odaklanıyoruz.

Butik bir geliştirici dükkânı

Sednit, casusluk implantlarının geliştirilmesini şirket içinde sürdürmektedir. Bu, paylaşılan kod artefaktlarına dayalı bir atıf yaklaşımını destekleyen ayırt edici bir özelliktir.

Bu yeteneği açıklamak için grubun 2010’larda kullandığı amiral gemisi arka kapısı olan Xagent’ı ele alalım. 2015 yılında, saldırganlar derledikten sonra korumasız bir arşivde bırakılan Xagent kaynak kodunu Ukrayna’daki bir Linux sunucusunda bulduk. Şekil 1, eklentilerin ve C&C kanallarının, operasyonel gereksinimlere göre hedef başına seçilen kodları yorumlayarak veya devre dışı bırakarak etkinleştirildiği veya devre dışı bırakıldığı görülmektedir. Bu da geliştiriciler ve operatörlerin yakın iş birliği içinde çalıştıklarına dair hiçbir şüphe bırakmamaktadır.

Şekil 1 . Eklentilerin ve iletişim kanallarının sabit kodlanmış örneklemeleri ile Xagent kaynak kodu (2015)

Ayrıca 2018 ABD Adalet Bakanlığı iddianamesinde, Xagent’ın şirket içinde geliştirildiği açıkça belirtilmekte ve GRU Birim 26165’in belirli üyelerinin geliştiricileri olduğu iddia edilmektedir.

Bu blog yazısında, bu geliştirme izini bir atıf mekanizması olarak kullanıyoruz. Farklı implantlar arasında paylaşılan kod artefaktlarını takip ederek, grubun 2010 dönemine ait araç setlerini şu anda kullanılanlarla ilişkilendiriyoruz.

SlimAgent

Modern Sednit faaliyetlerine ilişkin anlatımımız, Nisan 2024’te CERT-UA tarafından Ukrayna hükümetine ait bir makinede keşfedilenbir casusluk implantı olan SlimAgent ile başlıyor. SlimAgent, tuş vuruşlarını kaydetme, ekran görüntüsü alma ve panodaki verileri toplama yeteneklerine sahip, basit ama etkili bir casusluk aracıdır.

Selefleri

İlginç bir şekilde, ESET telemetrisinde, SlimAgent’a benzer kodlara sahip, daha önce bilinmeyen örnekler tespit ettik. Bu örnekler, Ukrayna vakasından altı yıl önce, 2018 yılında iki Avrupa ülkesindeki devlet kurumlarına karşı kullanılmıştı. Bu örnekler, Şekil 2‘de gösterilen altı adımlı veri toplama döngüsü de dâhil olmak üzere SlimAgent ile kod düzeyinde güçlü benzerlikler sergilemektedir. Her adım, Şekil 3‘te gösterildiği gibi, ön plan penceresinin yürütülebilir dosyasını kaydetmekten sorumlu rutin ile neredeyse aynı şekilde uygulanmaktadır; tek fark, iç veri yapılarının düzeninde yatmaktadır.

Şekil 2 . 2024 SlimAgent (solda) ve 2018 örneklerinin (sağda) casusluk döngüsü

Şekil 3 . 2024 SlimAgent (solda) ve 2018 örneklerinde (sağda) ön plan penceresinin günlüğe kaydedilmesi

SlimAgent, toplanan günlüklerin şifrelenmesi gibi 2018 örneklerinde bulunmayan birkaç özellik içerir. Bununla birlikte, altı yıl arayla dağıtılan örneklerin bu kadar güçlü kod benzerlikleri sergilemesi dikkat çekicidir.

Bu nedenle, hem 2018 örneklerinin hem de 2024 SlimAgent örneğinin aynı kod tabanından oluşturulduğunu yüksek bir güvenle değerlendiriyoruz. Geriye kalan soru şudur: 2018 örnekleri nereden kaynaklanıyor?

Kötü şöhretli bir soy

2018 örneklerinin, diğer analistlerin ilgisini çekebilecek bir iç adı vardır: RemoteKeyLogger.dll. Bu, Sednit’in 2012’den 2018’e kadar kullandığı amiral gemisi casusluk arka kapısı Xagent’ın keylogging modülünün adıdır (En Route with Sednit adlı dokümanımızda belgelenmiştir).

Eski Xagent örneklerini (ör. SHA-1: D0DB619A7A160949528D46D20FC0151BF9775C32) inceleyerek, Şekil 4‘te gösterilen gibi bazı çarpıcı benzerlikler bulduk. Bu kodda, keylogging mantığı yalnızca fare imleci 10 pikselden fazla hareket etmemişse (son konum ile mevcut konum arasındaki mesafenin karesini 0x64, yani 100 ile karşılaştırarak) yürütülür ve aynı API çağrılarıyla uygulanır.

Şekil 4 . SlimAgent (solda) ve Xagent (sağda) arasındaki kod karşılaştırması

Başka bir örnek olarak, SlimAgent casusluk günlüklerini HTML formatında, uygulama adı, kaydedilen tuş vuruşları ve pencere adı sırasıyla mavi, kırmızı ve yeşil renklerle yayımlar. Şekil 5 , notepad.exe kullanılarak yeni oluşturulan bir TXT dosyasına metin yazılırken ve kopyalanırken oluşturulan bir örneği göstermektedir. Xagent keylogger da aynı renk şemasını kullanarak HTML günlükleri üretir. Bu, Şekil 6 adresinde, 2015 Xagent kaynak kodunda karşılık gelen renk HTML etiketlerinin tanımıyla birlikte gösterilmektedir.

Şekil 5 . SlimAgent tarafından oluşturulan bir HTML raporu örneği

Şekil 6 . Günlük renklerinin tanımlarının bulunduğu Xagent kaynak kodu (2015)

Bu benzerliklere dayanarak, SlimAgent’ın en az 2018 yılından beri bağımsız bir bileşen olarak kullanılan Xagent keylogger modülünün bir evrimi olduğuna inanıyoruz. Ayrıca Xagent altı yıldan fazla bir süredir Sednit grubu tarafından özel olarak kullanılan bir araç seti olduğu için SlimAgent’ı Sednit’e yüksek bir güvenle atfediyoruz.

Bu da şu soruyu akla getiriyor: Sednit neden bu kadar iyi bilinen bir kod tabanından türetilmiş bir implantı yeniden kullanıyor? Olası bir açıklama, geliştirme kapasitesinin azalması olabilir. Ancak 2024 yılında Ukrayna’daki makinede bulunan tek implant SlimAgent değildi; Sednit’in özel cephaneliğine çok daha yakın zamanda eklenen BeardShell de orada kullanılmıştı.

BeardShell

BeardShell, .NET çalışma zamanı ortamında PowerShell komutlarını yürütebilen ve meşru bulut depolama hizmeti Icedrive’ı C&C kanalı olarak kullanan sofistike bir implanttır.

Bu bileşen, yoğun geliştirme çabalarının izlerini taşıyor ve Sednit’in gelişmiş geliştirme ekibinin yeniden aktif olduğuna inanmamızın ana nedeni. Örneğin, Icedrive halka açık bir API sağlamadığından geliştiriciler resmî Icedrive istemcisi tarafından yapılan istekleri yeniden uyguladılar. Icedrive’ın özel API’sinde yapılan değişiklikler BeardShell iletişimini kesintiye uğrattığında Sednit geliştiricileri erişimi geri yüklemek için birkaç saat içinde güncellenmiş bir sürüm üretiyor.

Geçmişten gelen matematiksel bir patlama

BeardShell ile doğrudan ilişkili başka kötü amaçlı yazılım aileleri bulamasak da BeardShell’in en başında yürütülen bir C++ statik başlatıcıyla başlayarak, geçmiş Sednit araçlarıyla şaşırtıcı bir benzerlik keşfettik. Kodu Şekil 7‘de gösterilen bu rutinin amacı, Icedrive bulut depolama için kimlik doğrulama belirtecini şifresini çözmektir.

Şekil 7 . Icedrive kimlik doğrulama belirtecinin şifresini çözmek için statik başlatıcı

Rutin, opak yüklem ekleme olarak bilinen gizleme tekniğinin klasik bir örneğini içerir ( Şekil 7‘de kırmızı kutuyla vurgulanmıştır):

• Şekil 7‘de x ve y olarak adlandırılan tüm olası girdiler için sıfır olarak değerlendirilen bir aritmetik ifade bir while döngüsünün koşulu olarak kullanılır. Pratikte, döngü gövdesi hiçbir zaman yürütülmez çünkü yüklem
   ‘nin tamsayı çözümü yoktur.
• Bu yapay döngünün gövdesi, iki orijinal komuttan ( Şekil 7‘de sarı kutuda gösterilen) ve gerçek bir döngü gövdesi yapısını taklit etmek için giriş değişkeni y’nin sahte bir güncellemesinden oluşur.
• Sahte döngünün ardından, yürütülecek iki orijinal komut gelir: Icedrive token şifre çözme rutinine çağrı ve temizleyici rutininin kaydı.

Opak yüklemeler genellikle statik analizi engellemek için kullanılır ancak bu kadar küçük bir rutinde pek kullanışlı değildir. Önemli verileri işlemeyen diğer BeardShell statik başlatıcılarının da aynı teknikle korunduğuna dikkat edin, bu nedenle geliştiriciler bu korumayı hepsine ayrım gözetmeksizin uygulamış gibi görünüyor.

Şimdi, yüklem formülü (her iki taraftan 2 çıkararak)  şeklinde basitleştirilebilir. İlginç bir şekilde, aynı opak yüklem, 2013’ten 2016’ya kadar Sednit tarafından özel olarak kullanılan ve En Route with Sednit adlı dokümanımızda belgelenen bir ağ pivotlama aracı olan Xtunnel’da da kullanılmıştır. Şekil 8 , Xtunnel’dan (SHA-1: 99B454262DC26B081600E844371982A49D334E5E) gizlenmiş kodun bir örneğini göstermektedir. Bu kodda, yüklemi doğru olamayacak bir if ifadesi bulunmaktadır.

Şekil 8 . Xtunnel opak yüklem (2015)

Yüklem, BeardShell’de kullanılanla aynı olmakla kalmaz, aynı zamanda asla yürütülmeyen blok da benzer bir şekilde oluşturulur; iki orijinal komut (sarı kutuda) kopyalanır ve yüklem girdilerinden biri (burada x) için sahte bir güncelleme yapılır.

Bildiğimiz kadarıyla bu opak yüklem Xtunnel dışında başka hiçbir yerde gözlemlenmemiştir. Hatta, özellikle BlackHat Europe 2016sunumunda Xtunnel’e özgü olduğu kamuoyuna açıkça belirtildiği için bunun sahte bayrak olarak kullanılmış olabileceği bile merak edilebilir. Bununla birlikte, sahte bayrak operasyonu muhtemelen denklemde her iki tarafta +2 olan varyantı değil, aynı yüklemi kullanırdı.

Bu nadir görülen gizleme tekniğinin ortak kullanımı ve SlimAgent ile aynı yerde bulunması, BeardShell’in Sednit’in özel cephaneliğinin bir parçası olduğunu yüksek bir güvenle değerlendirmemize neden olmaktadır.

İlk 2024 vakasından bu yana, Sednit, BeardShell’i 2025 ve 2026 yıllarında da öncelikle Ukrayna askeri personelini hedef alan uzun vadeli casusluk operasyonlarında kullanmaya devam etti. Bu yüksek değerli hedeflere sürekli erişim sağlamak için Sednit, BeardShell’in yanı sıra sistematik olarak başka bir implant kullanıyor: Modern cephaneliğinin son bileşeni olan Covenant.

Covenant

Covenant, ilk olarak Şubat 2019’da piyasaya sürülen açık kaynaklı bir .NET post exploitation çerçevesidir. Web tabanlı bir kontrol paneli aracılığıyla .NET implantlarının oluşturulmasını ve yönetilmesini sağlar ( Şekil 9 örneğine bakın) ve veri sızdırma, hedef izleme ve ağ pivoting gibi yetenekleri destekleyen 90’dan fazla yerleşik görev sunar.

Şekil 9 . Covenant kontrol paneli

2023’ten bu yana, Sednit geliştiricileri Covenant’ı birincil casusluk implantı olarak kurmak için bir dizi değişiklik ve deney yaptı ve BeardShell’i, Covenant’ın bulut tabanlı altyapısının devre dışı bırakılması gibi operasyonel sorunlarla karşılaşması durumunda yedek olarak tuttu.

Örneğin, Sednit, Covenant’ın orijinal implant isim oluşturma mekanizmasını deterministik bir yöntemle değiştirdi (bkz. Şekil 10 ), her yürütmede yeni bir rastgele değer oluşturmak yerine makine özelliklerinden türetilen tanımlayıcılar üretti (bkz. Şekil 9 Grunts bölümündeki Name sütunu). Bu değişiklik, Sednit’in Covenant’ı kısa vadeli, istismar sonrası faaliyetler yerine uzun vadeli casusluk için nasıl uyarladığını göstermektedir: Uzun süreli operasyonlarda, her yeniden başlatma sonrasında aynı makinenin farklı tanımlayıcılarla görünmesi, kontrol panelini karmaşık hâle getirir ve operasyonel verimliliği düşürür.

Şekil 10 . Sednit tarafından eklenen Grunt ID oluşturma rutini

Sednit, muhtemelen davranışsal algılamayı önlemek için Covenant’ın iki aşamalı implant olan yürütme akışını da değiştirdi. İlk aşama indiricinin (orijinal olarak uygulandığı gibi) sabit bir dizin kullanarak ikinci aşama .NET derlemesinin ilk yöntemini çağırması yerine, DisplayName özniteliği eklediler ve giriş noktasını bulmak için yöntem özniteliklerini yinelediler. 2023’ün başlarında, Sednit geliştiricileri her iki aşamayı tek bir ikili dosyaya yerleştirmeyi denediler.

Covenant resmî olarak yalnızca HTTP ve SMB’yi destekler, bu da Sednit’in Covenant’ta yaptığı en önemli değişikliğe yol açar: Bulut tabanlı bir ağ protokolünün eklenmesi. Bunu başarmak için Sednit geliştiricileri, yeni iletişim protokollerinin entegrasyonunu kolaylaştırmak için Covenant’ın orijinal yazarı tarafından oluşturulan bağımsız bir çerçeve olan C2Bridge projesinden yararlandı.

C2Bridge ile geliştiriciler, düşük seviyeli iletişimleri yönetmek için Read and Write yöntemleri sağlayan, implant tarafında IMessenger arayüzüne uygun bir sınıf uygulamakla yetinirler. C2Bridge daha sonra denetleyicide bağımsız bir bileşen olarak çalışarak mesajları iletirken denetleyici tarafından oluşturulan yeni implantlar uygulanan iletişim yöntemlerini kullanır.

Şekil 11, Sednit geliştiricileri tarafından Filen bulut sağlayıcısıyla iletişim kurmak için tanıtılan ve Temmuz 2025’ten beri kullanılan sınıfları göstermektedir. FilenMessenger sınıfı, IMessenger’ı uygular ve Filen API ile etkileşim kurmak için FilenClient’a dayanır. Daha önce, 2023’te Sednit’in Covenant’ı, benzer uygulamalar kullanarak meşru bulut hizmeti pCloud’u ve 2024-2025’te Koofr’u kötüye kullanmıştı.

Şekil 11 . Filen bulut sürücüsü ile iletişimi yöneten ek Covenant sınıfları

Bu uyarlamalar, Sednit geliştiricilerinin Covenant konusunda derin bir uzmanlık kazandığını göstermektedir. Covenant, resmî geliştirilmesi Nisan 2021’de durdurulan ve savunucular tarafından kullanılmayan bir implant olarak değerlendirilebilecek bir yazılımdır. Bu şaşırtıcı operasyonel seçim, karşılığını vermiş gibi görünüyor: Sednit, özellikle Ukrayna’daki seçilmiş hedefler karşısında, birkaç yıldır Covenant’ı başarıyla kullanmaktadır.

Örneğin, 2025 yılında Sednit tarafından kontrol edilen Covenant bulut sürücülerini analiz ettiğimizde altı aydan fazla bir süredir izlenen makineler ortaya çıktı. Ocak 2026’da Sednit, CERT-UA‘nın bildirdiği üzere, CVE-2026-21509 güvenlik açığını kullanan bir dizi spearphishing kampanyasında da Covenant’ı kullanmıştır.

Sonuç

Yazımızda, Sednit’in gelişmiş geliştirme ekibinin yeniden aktif hâle geldiğini ve BeardShell ve Covenant adlı iki implantı merkezine alan bir cephanelik kullandığını gösterdik. Bu iki implant, birbiriyle eş güdümlü olarak çalışıyor ve her biri farklı bir bulut sağlayıcısından yararlanıyor. Birinin altyapısı devre dışı bırakıldığında operatörlerin erişimi hızlı bir şekilde yeniden kurmasını sağlıyor. Bu çift implant stratejisinin yeni olmadığını düşünüyoruz. Örneğin, Trellix tarafından belgelenen 2021 kampanyasında Sednit, iki implantı paralel olarak kullanmıştır: C&C kanalı olarak OneDrive’ı kullanan Graphite ve ayrı bir özel altyapıya dayanan PowerShell Empire.

BeardShell’in gelişmişliği ve Covenant’a yapılan kapsamlı değişiklikler, Sednit’in geliştiricilerinin gelişmiş özel implantlar üretme konusunda hâlâ tam kapasiteye sahip olduklarını göstermektedir. Ayrıca bu araçları 2010 dönemindeki öncüllerine bağlayan ortak kod ve teknikler, geliştirme ekibi içinde süreklilik olduğunu güçlü bir şekilde göstermektedir.

Bu durum, güvenlik topluluğunun Sednit’in phishing faaliyetlerini gözlemlediği tüm bu yıllar boyunca bu geliştiricilerin ne yaptıkları sorusunu gündeme getiriyor. Bir olasılık, Rusya’nın Ukrayna’yı işgalinin ardından gelişmiş geliştirme çabalarının yeniden başlatılmış olmasıdır. Bir diğer olasılık ise çalışmalarını hiç durdurmamış ancak daha temkinli davranmaya başlamış olmalarıdır.

IOC’LER

Kapsamlı bir tehlike göstergesi (IoC) ve örnek listesi GitHub depomuzda bulunabilir.

Files

MITRE ATT&CK teknikleri

Bu tablo, MITRE ATT&CK çerçevesinin 18. sürümü kullanılarak oluşturulmuştur.