Son zamanlarda siber tehditlerin yükselişinde, bilgisayar korsanları UAC-0212 olarak tanımlanan, Ukrayna’daki kritik altyapı tesislerinden ödün vermeyi amaçlayan hedefli bir kampanya başlattı.
2024’ün ikinci yarısında başlayan bu kampanya, otomasyon ve süreç kontrol çözümleri geliştiricilerinin ve tedarikçilerinin ağlarına sızmak için sofistike taktikler içeriyor.
Saldırganların nihai hedefi, enerji, su ve ısı arzı gibi hayati sektörlerdeki işletmelerin bilgi ve iletişim sistemlerini (ICS) bozmaktır.
UAC-0212: Bilgisayar korsanları kritik altyapıya yıkıcı siber saldırıyı serbest bırakır
UAC-0212 kampanyası, kötü niyetli bağlantılar içeren PDF belgelerinin dağıtımı da dahil olmak üzere yeni tekniklerin kullanımı ile dikkat çekiyor.
Bu bağlantılar CVE-2024-38213 güvenlik açığından yararlanarak bir LNK dosyasının indirilmesine yol açar.
Yürütüldükten sonra, bu dosya, kötü niyetli exe/dll dosyalarını gizlice indirip yüklerken bir tuzak belgesini görüntüleyen bir PowerShell komutunu tetikler.
Bu operasyonun bir parçası olarak SecondBest, Empirepast, Spark ve Crookbag gibi araçlar tanımlanmıştır.
Ayrıca, RSYNC uzun vadeli belge hırsızlığı için kullanılır ve saldırganların hassas bilgileri toplama niyetini vurgular.
Saldırının coğrafyası, Sırbistan, Çek Cumhuriyeti ve Ukrayna şirketleri de dahil olmak üzere hedeflerle geniş.
Temmuz 2024 ve Şubat 2025 arasında, birden fazla lojistik ve ekipman imalat şirketi tehlikeye atıldı.
Saldırganlar genellikle potansiyel müşteriler olarak poz verir, kötü niyetli belgeler göndermeden önce güven kazanmak için birkaç gün boyunca mağdurlarla yazışırlar.
Bu yaklaşım, ilk uzlaşma saatleri içinde sunucular ve iş istasyonlarında kalıcılık oluşturarak ağdan hızlı hareket etmelerini sağlar.
Etki ve Yanıt
UAC-0212 kampanyası, dünya çapında kritik altyapıya yönelik artan tehdidin altını çiziyor.
Saldırganların ağlar aracılığıyla hızla yayılma yeteneği göz önüne alındığında, etkilenen sistemleri tanımlamak ve yeniden yüklemek yetersizdir.
CERT-UA, tedarikçi şirketleri kapsamlı teknik soruşturmalar ve olay müdahale önlemleri için onlarla iletişim kurmaya çağırıyor.
Ajans, siber tehdit göstergeleri sağlar ve hedef alınmış olabilecek işletmeler arasında uyanıklığı teşvik eder.
Tehdit manzarası geliştikçe, kuruluşların siber güvenlik duruşlarını, özellikle de kritik altyapıya dahil olanları geliştirmeleri çok önemlidir.
Gelişmiş tehdit algılama araçlarının ve düzenli ağ denetimlerinin kullanılması bu tür saldırıları azaltmaya yardımcı olabilir.
Bu siber operasyonların devam eden doğası, ortaya çıkan tehditlere etkili bir şekilde karşı koymak için siber güvenlik kuruluşları arasında sürekli izleme ve işbirliği ihtiyacını vurgulamaktadır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here