Sectorj149 (UAC-0050 olarak da tanımlanan) olarak bilinen gelişmiş bir Rus yanlısı siber suçlu grup, dünya çapında kritik altyapı için önemli bir tehdit olarak ortaya çıktı ve birden fazla ülkede imalat, enerji ve yarı iletken şirketlere yönelik hedefli saldırılar gerçekleştirdi.
Grubun faaliyetleri, Ukrayna ile devam eden çatışma sırasında geleneksel finansal olarak motive edilmiş siber suçtan jeopolitik olarak yönlendirilen operasyonlara stratejik bir değişimi temsil ediyor.
Tehdit oyuncusu, karanlık web pazarlarından ve kara pazarlardan özelleştirilmiş kötü amaçlı yazılım satın alarak, bu araçları kıtaları kapsayan kapsamlı saldırı kampanyalarına entegre ederek dikkate değer bir uyarlanabilirlik göstermiştir.
Son araştırmalar, sektör149’un Güney Kore, Ukrayna ve diğer stratejik müttefiklerde başarılı bir şekilde sızdığını ve özellikle ikincil pil üretimi, yarı iletken üretimi ve kritik enerji altyapısında yer alan şirketlere odaklandığını ortaya koyuyor.
NSHC Threatrecon ekip analistleri, farklı coğrafi hedeflerde tutarlı taktikler, teknikler ve prosedürleri (TTP’ler) ortaya koyarak, çoklu saldırı kampanyalarının korelasyon analizi yoluyla grubun sofistike metodolojisini belirledi.
Araştırmacılar, Ekim 2024’te Ukrayna sigortası ve perakende şirketlerine yönelik saldırılar ile Kasım 2024’te Güney Koreli imalat firmalarını hedefleyen daha sonraki operasyonlar arasındaki benzerlikleri vurguladılar ve kuruluş içinde koordineli kampanya planlaması ve kaynak paylaşımı önerdi.
Grubun operasyonları, Rus stratejik hedeflerine hizmet eden hacktivist unsurları birleştirerek geleneksel siber suç faaliyetlerinin ötesine uzanıyor.
Bu evrim, özellikle artan jeopolitik gerilim dönemlerinde, devlet destekli operasyonlar ve siber suçlu işletmeler arasındaki giderek artan bulanıklık çizgilerini yansıtmaktadır.
Saldırılar, hedeflenen sektörler arasında hassas endüstriyel verileri, fikri mülkiyeti ve operasyonel yetenekleri başarıyla tehlikeye atmıştır.
.webp)
İlk kanıtlar, sektörj149’un faaliyetlerinin, kritik teknolojiler ve altyapı üzerinde istihbarat toplarken müttefik ülkelerin endüstriyel yeteneklerini zayıflatmak için daha geniş bir Rus stratejisinin bir parçası olabileceğini göstermektedir.
Zamanlama ve hedef seçimi, tipik siber suçlu operasyonları aşan sofistike zeka toplama ve stratejik planlama yeteneklerini göstermektedir.
Saldırı Metodolojisi ve Altyapı Sömürü
SectorJ149, üretim kuruluşlarındaki yöneticileri ve kilit personeli hedefleyen özenle hazırlanmış mızrak kimlik avı e-postaları ile başlayan çok aşamalı bir saldırı metodolojisi kullanır.
Grup, olağanüstü sosyal mühendislik yeteneklerini gösterir ve e -posta içeriğini belirli şirket operasyonlarına ve endüstri terminolojisine uyacak şekilde özelleştirir.
.webp)
Bu e -postalar genellikle teklif talepleri veya üretim tesisi satın alma soruları gibi meşru iş belgeleri olarak gizlenmiş sıkıştırılmış taksi dosyaları içerir.
Yürütme üzerine, kötü amaçlı yük yükü, şaşkın PowerShell komutlarını yürüten Visual Basic Script (VBS) kötü amaçlı yazılımlarını dağıtır.
PowerShell uygulaması, steganografik olarak gizli kötü amaçlı yazılım bileşenlerini indirmek için Bitbucket veya GitHub depolarına rastgele bağlanan sofistike yük devretme mekanizmalarını içerir.
Kod snippet, grubun teknik karmaşıklığını gösterir: kötü amaçlı yazılım, gizli yürütülebilir kod içeren görüntü dosyalarını indirir ve daha sonra belirli sınırlayıcılarla işaretlenmiş Base64 kod çözme teknikleri kullanılarak çıkarılır.
Nihai yük, regasm.exe gibi meşru pencereler süreçlerine kötü amaçlı kod enjekte ederek proses oyma tekniklerini kullanır.
Bu yaklaşım, kötü amaçlı yazılımların güvenlik çözümleri tarafından tespitten kaçınırken kalıcılığı korumasını sağlar.
Grup, operasyonel gereksinimlere bağlı olarak hem RUN hem de Runonce yapılandırmalarını uygulamak için sürekli sistem erişimini sağlamak için HKEY_CURRENT_USER tuşlarında kayıt defteri değişikliklerini kullanır.
Bu operasyonları destekleyen altyapı, meşru bulut hizmetlerinden ve açık kaynaklı platformlardan yararlanarak güvenlik ekipleri için algılama ve ilişkilendirmeyi zorlaştırıyor.
Bu sofistike yaklaşım, grubun modern güvenlik ortamları hakkındaki anlayışını ve geleneksel saldırı yöntemlerini çağdaş tehdit manzaraları için uyarlama yeteneklerini göstermektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.