Bo Team olarak bilinen ve Black Owl, Licking ZMiy ve Hoody Hidena gibi takma adlar altında faaliyet gösteren Ukraynalı bir hacktivist grubu, 2025’te Rus örgütleri için zorlu bir tehdit olarak ortaya çıktı.
Niyetlerini 2024’ün başlarında bir telgraf kanalı aracılığıyla halka açık bir şekilde ilan eden bu grup, hükümet, teknoloji, telekomünikasyon ve imalat sektörleri de dahil olmak üzere kritik endüstrileri hedefleyen bir dizi yıkıcı siber saldırıda rol oynamıştır.
Siber manzarada ortaya çıkan tehdit
Rapora göre, Kaspersky Lab’ın telemetrisi, siyah baykuşla ilgili tüm tespit edilen uzlaşma göstergelerinin (IOC’ler) Rusya’ya yerelleştirildiğini ve finansal muhafazayı takip ederken maksimum altyapı hasarına neden olmayı amaçlayan coğrafi olarak odaklanmış bir kampanyanın altını çizdiğini doğrulamaktadır.
.png
)
Black Owl, Darkgate, Remcos ve kırık kapı gibi backdoors yüklemek için tasarlanmış kötü niyetli ekler içeren mızrak kimlik avı kampanyalarından başlayarak titizlikle hazırlanmış bir saldırı zinciri kullanıyor.
Genellikle otomasyon veya enerji sektörlerindeki şirketlerden meşru yazışmalar olarak gizlenen bu kimlik avı e -postaları, kurbanları yükleri yürütmek için kandırmak için sosyal mühendislik taktiklerini kullanır.
İçeri girdikten sonra, grup veri tahribatı için Sdelete ve şifreleme için Babuk fidye yazılımı gibi araçları kullanır ve erişimi geri yüklemesi için önemli fidye gerektirir.
PowerShell ve WMIC.EXE gibi yerleşik Windows araçlarını kullanan arazi (LOTL) tekniklerini ve yıkıcı yardımcı programları başlatmak için AV_SCAN.EXE gibi özel yeni başlayanlar kullanan (LOTL) tekniklerini kullanmaları, yüksek derecede teknik sofistike vurgulamaktadır.
Sofistike Saldırı Zinciri
Ek olarak, Black Owl’un “Microsoftedgeupdate” gibi meşru güncellemeler olarak gizlenmiş planlanmış görevler oluşturma gibi kalıcılık mekanizmaları, uzlaşmış sistemlere uzun süreli erişim sağlamak.
Operasyonları ayrıca, Hilekatz ve NTDSUTIL gibi araçları kullanan LSASS dökümleri ve Active Directory Veritabanı Ekstraksiyonu ile ağlardaki RDP ve SSH protokolleri aracılığıyla yanal hareketi sağlayan Active Directory veritabanı ekstraksiyonunu da içerir.
Hızlı veri hırsızlığına veya yıkıma öncelik veren diğer hacktivist grupların aksine, Black Owl’un saldırıları aylarca yayılabilir ve bu da hem aksamayı hem de finansal kazancı en üst düzeye çıkarmak için stratejik bir yaklaşım gösterebilir.
Bu uzun süreli zaman çizelgesi, yedekleme dosyalarını ve gölge kopyalarını vssadmin.exe aracılığıyla silme gibi yıkım eylemleriyle birleştiğinde, kurbanları çok az başvuruyla bırakıyor, ancak fidye taleplerini karşılıyor.
Motivasyonları çift katlı görünmektedir: Rus-Ukrayna çatışması bağlamında Ukrayna yanlısı nedeni ile ideolojik uyum ve fidye yazılımı ödemeleri yoluyla finansal derecede var.
Telegram’daki kamu söylemleri psikolojik savaş ve medya konumlandırması olarak hizmet ederken, Kaspersky araştırmacıları, Black Owl’un önemli özerklikle çalıştığını ve diğer Ukraynalı hacktivist kümeler arasında yaygın olarak görülmeyen benzersiz araçlar ve taktikler kullandığını belirtiyor.
Bu bağımsızlık, diğer gruplarla asgari koordinasyon kanıtının yanı sıra, siyah baykuşu mevcut siber tehdit manzarasında benzersiz bir tehlikeli aktör olarak konumlandırıyor.
Kuruluşlardan yazılımı güncellemeleri, düzenli yedeklemeleri sürdürmeleri ve bu gelişen tehdide karşı koymak için kapsamlı güvenlik çözümleri dağıtmaları istenir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Tanım | Örnek |
|---|---|---|
| Kırık kapı | Kötü amaçlı yürütülebilir dosya adları | scan_kartochka_[company_name]_Annꬵdp.exe |
| Darkgate | Kötü amaçlı yürütülebilir dosya adları | scan_tz_site_[company_name]_Annꬵdp.exe |
| Sdelete koşucusu | Veri silinmesi için özel başlatıcı | AV_SCAN.EXE (MD5: 5AAC8F8629EA001029B18F99EEAD9477) |
| Ağ altyapısı | Komut ve Kontrol (C2) Etki Alanları | Wmiadap[.]Xyz, Invuln[.]xyz |
| IP adresleri | Saldırgan kontrollü IPS | 194.87.252[.]171, 193.124.33[.]172 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!