IBM X-Force araştırmacıları, Ukrayna hükümetini ve askeri personeli sofistike kötü amaçlı yazılım saldırılarına sahip sistematik olarak hedefleyen Rusça uyumlu bir tehdit oyuncusu olan HIVE0156 tarafından devam eden siber kampanyaları tespit ettiler.
CERT-UA’nın UAC-0184 aktörüyle önemli operasyonel örtüşme gösteren grup, Ukrayna genelinde Remcos uzaktan erişim Truva atını (sıçan) aktif olarak kullanıyor ve kritik altyapıya ve hassas askeri iletişimlere kalıcı erişimi sürdürüyor.
Gelişen Saldırı Stratejileri
Başlangıçta sadece Ukrayna askeri personeline odaklanan HIVE0156’nın hedefleme stratejisi, 2025’in ortalarından bu yana önemli ölçüde gelişti.
Tehdit aktörleri daha önce 33. Mekanize Tugay, Tabur Hazırlık Değerlendirmeleri ve Personel Dağıtım Hesaplamalarından alınan savaş zamanı kayıpları hakkında uydurulmuş raporlar da dahil olmak üzere son derece spesifik askeri temalı tuzak belgeleri kullanmıştı.
Bu belgeler genellikle otantik görünen askeri terminoloji ve “Uzagalnena_informacia_spisan_vtrat_33_shbr_100103.xlsx” ve “nakaz_shchodo_perevyrky_gotovnosty_1mehbat_14.07.2024
Bununla birlikte, son zeka daha geniş sivil hedeflemeye yönelik stratejik bir değişim olduğunu göstermektedir.
2015’in ortalarından bu yana, araştırmacılar, “dilekçeler”, “resmi kapak mektupları” ve tercüme edilen Ukrayna dilinde “resmi reddetme” ile ilgili temalar içeren tuzak belgeleri gözlemlediler ve grubun askeri hedeflerin ötesindeki genişlemeyi potansiyel olarak hükümet yetkililerini, yüklenicileri ve sivil altyapı personelini içermektedir.
Saldırı metodolojisi, silahlandırılmış Microsoft LNK dosyaları veya PowerShell komut dosyalarıyla başlayan sofistike çok aşamalı bir enfeksiyon zinciri kullanır.
Yürütme üzerine, bu ilk yükler hem tuzak belgelerini hem de korsanlık yükleyici bileşenlerini içeren kötü amaçlı fermuar arşivlerini almak için komut ve kontrol altyapısıyla iletişime geçer.
Grup, algılama sistemlerinden kaçınırken başarılı yük dağıtımını sağlamak için coğrafi filtreleme ve kullanıcı-ajanı doğrulaması uygular.
Teknik sofistike
HIVE0156, Idat Loader olarak da bilinen HijhackLoader kullanılarak bir ara yük dağıtım mekanizması olarak önemli teknik karmaşıklık göstermektedir.
Bu yükleyici, meşru imzalı yürütülebilir dosyalar, yamalı DLL dosyaları, ek modüller içeren şifreli PNG dosyaları ve rastgele adlandırma kurallarına sahip Shellcode dosyaları dahil olmak üzere birden fazla bileşen gerektirir.
Bu dağıtım sisteminin karmaşıklığı, operasyonun arkasında önemli kaynaklar ve teknik uzmanlık önermektedir.
Nihai yük, Remcos Rat, anahtarlama, ekran kaydı, ses gözetimi, kimlik bilgisi hırsızlığı ve tam sistem kontrolü gibi kapsamlı uzaktan erişim özellikleri sağlar.
Yakalanan Remcos konfigürasyonlarının analizi, grubun organize ve sistematik işlemleri gösteren “HMU2005”, “GU2005”, “RA2005” ve “RA2005New” gibi farklı kampanya tanımlayıcıları kullanarak çoklu paralel kampanya yürüttüğünü ortaya koymaktadır.
Tehdit aktörleri, küresel komuta ve kontrol altyapısını sürdürüyor ve muhtemelen Rus barındırma sağlayıcılarının kötü niyetli faaliyetlere toleransından yararlanıyor.
Operasyonel güvenlikleri, C2 kanalları aracılığıyla verilen coğrafi kaplama kısıtlamalarını ve sürekli yapılandırma güncellemelerini içerir, bu da operasyonel gereksinimlere dayalı gözetim yeteneklerini seçici olarak mümkün kılarak hareketsiz erişimin sürdürülmesinin önceliklendirilmesini önermektedir.
Güvenlik araştırmacıları, gelişmiş kullanıcı farkındalık eğitimi, remcos varyantlarını tespit edebilen güncellenmiş uç nokta koruması, yanal hareketi sınırlamak için ağ segmentasyonu, şüpheli coğrafi engelleme gibi kapsamlı savunma önlemlerinin uygulanmasını öneririz.
IP aralıkları, davranışsal analiz izleme ve sağlam olay yanıt prosedürleri. Ukrayna hükümeti veya askeri operasyonlarla bağlantıları olan kuruluşlar artan riskle karşı karşıyadır ve bu koruyucu önlemlere öncelik vermelidir.
Uzlaşma göstergeleri
| Gösterge | Tip | Bağlam |
|---|---|---|
| 5.101.83[.]18 | IP adresi | C2 Sunucusu |
| 5.101.83[.]19 | IP adresi | C2 Sunucusu |
| 146.185.239[.]11 | IP adresi | C2 Sunucusu |
| 146.185.239[.]12 | IP adresi | C2 Sunucusu |
| 6637405265ADC8BBAD328BAACB7E67C517324D7CA3AB54D97498038E2A87F8 | SHA256 | Kötü niyetli LNK |
| 46d633c2937eeca2748435e5155898f84cf36fe75f841b35d6f65502a7cce0 | SHA256 | Kötü niyetli LNK |
| 2387e5e7f1ebfa1c27f957fa0f5dc2d7607e2e8b624e8fbed2dbb3258987e2 | SHA256 | Kötü niyetli güç |
| 2d69f5ac19a8f9d498921665961575a3ac879348f8eaa63217f20f1f913858e | SHA256 | Korsan |
| E2828ABD351FEF967F6D331D5FC3618FA186DEC75DB34AA0E4B05A0F28A | SHA256 | Remecos Sıçanı |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!