Hükümet Bilgisayar Acil Müdahale Ekibi (CERT-UA), Ukrayna’nın savunma-sanayi kompleksindeki çalışanlara ve Silahlı Kuvvetler üyelerine yönelik bir dizi hedefli siber saldırı hakkında önemli bir uyarı yayınladı. Bu saldırılar IDEN altında izlendiTifier UAC-0200, MarKral Darkcrystal sıçanından (DCRAT) yararlanan casusluk faaliyetlerinde yükselişle ilgili bir Kral.
CERT-UA’ya göre, en azından 2024 yazından beri devam eden saldırılar, hassas bilgilere yetkisiz erişim elde etmek için sofistike taktikler kullanıyor. Belirlenen birincil tekniklerden biri, kötü niyetli aktörlerin rapor olarak gizlenmiş mesajları yaydığı sinyal mesajlaşma uygulamasının kullanımını içerir.
Ayrıca okuyun: UAC-0173, DarkCrystalrat kötü amaçlı yazılımları kullanarak Ukrayna noterlerine karşı siber saldırılara devam ediyor
Bu aldatıcı mesajlar genellikle PDF belgesi ve yürütülebilir bir dosya içeren sıkıştırılmış arşiv dosyaları içerir. DarkTortilla dosyası, enfekte olmuş sistemde DarkCrystal sıçanı (DCRAT) şifresini çözmek ve başlatmak için tasarlanmış bir kriptor/yükleyici görevi görür.
Darkcrystal sıçanı nasıl çalışır?
DarkCrystal Sıçan (DCRAT), siber suçluların enfekte olmuş sistemleri uzaktan kontrol etmesini sağlayan güçlü bir uzaktan erişim aracıdır. Kurulduktan sonra, saldırganlara kurbanın cihazı üzerinde tam kontrol sağlar, Hassas bilgileri ekspiltrat etmelerini, verileri manipüle etmelerini ve hatta ek kötü amaçlı yükleri dağıtmalarını sağlar. DarkTortilla’nın bir yükleyici olarak kullanılması, özellikle zararsız bir dosyanın arkasındaki kötü niyetli niyeti gizlediği için, kullanıcıların algılamasını zorlaştırdığı için endişe vericidir.
CERT-UA ekibi ayrıca Şubat 2025’ten başlayarak, bu saldırıların odağının insansız hava araçları (İHA’lar) ve elektronik savaş sistemleriyle ilgili konulara doğru kaydığını vurguladı. Bu değişim, saldırganların şimdi Ukrayna’nın askeri yetenekleri hakkında istihbarat toplaması muhtemel daha spesifik savunma teknolojilerini hedef aldığını gösteriyor.
Siber saldırılar için sosyal mühendislik taktiklerinden yararlanmak
Bu siber saldırıların temel özelliklerinden biri, kurbanları kötü niyetli ekler açmaya yönlendirmek için sosyal mühendislik tekniklerinin kullanılmasıdır. Popüler bir mesajlaşma platformu olan sinyal kullanımı, saldırı yüzeyini genişletir ve siber suçlulara yüklerini yaymak için nispeten düzensiz bir kanal sağlar.
Mesajlar genellikle hesapları zaten tehlikeye atılmış olan meslektaşları veya iş ortakları gibi güvenilir kaynaklardan geliyor gibi görünmektedir. Bu saldırı yöntemi, geleneksel güvenlik sistemlerinin kötü niyetli etkinlikleri tespit etmesini ve engellemesini zorlaştırıyor, çünkü saldırganlar yüklerini sağlamak için meşru iletişim kanallarından yararlanıyor.
CERT-UA’nın devam eden izleme ve yanıtı
CERT-UA ekibi bu tehditleri yakından izliyor ve savunma sektöründe çalışan tüm bireyleri uyanık kalmaya çağırıyorlar. Şüpheli mesaj veya dosya alma durumunda, CERT-UA, mevcut tüm yollarla yetkililere derhal raporlamayı teşvik eder.
Devam eden çabalarının bir parçası olarak, CERT-UA, kuruluşların tehdidi tanımlamasına ve bunlara yanıt vermelerine yardımcı olmak için uzlaşma göstergelerinin (IOCS) bir listesini yayınladı. Bu IOC’ler, saldırı ile ilişkili belirli dosya karmalarını ve ağ adreslerini içerir.
Listelenen dosyalar, DarkCrystal sıçanına bağlı kötü amaçlı yürütülebilir ürünleri içeren “н 10.03.25.rar” ve “наказ 17.02.2025.pdf” gibi arşiv dosyalarını içerir.
Saldırılara bağlı belirlenen ağ adresleri şunlardır:
- 45[.]130.214.237
- 62[.]60.235.190
- 87[.]249.50.64
- 217[.]25.91.61
- 83[.]147.253.138
Ayrıca, enfekte sistemler ile saldırganların sunucuları arasında saldırıyı kolaylaştırmak ve iletişimi sürdürmek için kullanılan, tehlikeye atılan ağ altyapısı ile ilişkili birkaç URL vardır.
UAC-0200 saldırı kampanyası, Ukrayna’nın savunma sektörünün karşılaştığı artan siber güvenlik risklerini vurgulamaktadır. DarkCrystal Rat (DCRAT) gibi sofistike kötü amaçlı yazılımların kullanılması, özellikle sinyal gibi iletişim araçlarından yararlanan sosyal mühendislik taktiklerine karşı daha güçlü güvenlik ihtiyacını vurgulamaktadır. Siber suçlular daha gelişmiş hale geldikçe, sürekli uyanıklık ve proaktif siber güvenlik önlemleri esastır.
CERT-UA’nın devam eden izlemesi, bu tehditlerin yönetilmesinde önemli bir rol oynamaktadır, ancak bireyler aynı zamanda uyanık kalmalı ve şüpheli faaliyetleri bildirmelidir. Siber saldırılar daha gelişmiş hale geldikçe, hem hükümet hem de özel sektörlerin Ukrayna’nın savunma altyapısını ve ulusal güvenliğini korumak için savunmaları güçlendirmek için işbirliği yapması hayati önem taşıyor.