ESET araştırmacıları, Rusya bağlantılı siber casusluk grubu Sednit’in Ukrayna’da yeniden aktif olduğunu tespit etti. Araştırmaya göre grup, uzun süreli gözetim amacıyla BeardShell ve Covenant adlı iki farklı implanttan oluşan bir araç seti kullanıyor. Farklı bulut sağlayıcılarını kullanan bu çift implant yaklaşımının özellikle Ukraynalı askeri personeli hedef alan operasyonlarda Nisan 2024’ten bu yana kullanıldığı belirtiliyor.
ESET’in analizine göre faaliyetlerin başlangıcı, Ukrayna’da bir devlet kurumuna ait sistemde tespit edilen SlimAgent adlı casus yazılıma dayanıyor. Tuş vuruşlarını kaydetme, ekran görüntüsü alma ve pano verilerini toplama gibi işlevlere sahip olan bu yazılımın, daha önce grubun kullandığı Xagent araç setiyle bağlantılı olduğu değerlendiriliyor. Araştırmacılar ayrıca SlimAgent’e benzer kodların 2018 yılında iki Avrupa ülkesindeki devlet kurumlarına yönelik saldırılarda da kullanıldığını belirledi.
Rapora göre BeardShell implantı PowerShell komutlarını çalıştırabilen bir yapı sunarken, komuta-kontrol iletişimi için Icedrive bulut depolama hizmetini kullanıyor. Grup ayrıca veri sızdırma, hedef takibi ve ağ içinde hareket etme gibi işlemleri destekleyen açık kaynaklı bir .NET post-eksploitasyon çerçevesi olan Covenant üzerinde değişiklikler yaparak operasyonlarında kullanıyor. Araştırmada, bu araçların Ukrayna’daki hedeflere yönelik uzun süreli erişim sağlamak amacıyla birlikte kullanıldığı ifade ediliyor.
