Rus uyumlu siber tehdit grupları, UAC-0050 ve UAC-0006, 2025 yılında operasyonlarını önemli ölçüde artırdı ve dünya çapında kuruluşları Ukrayna’ya odaklanarak hedef aldı.
Bu gruplar, finansal hırsızlık, casusluk ve psikolojik operasyonları içeren sofistike kampanyalar sağlayan ağ altyapılarını maskelemek için kurşun geçirmez barındırma hizmetleri kullanırlar.
Rus kolluk kuvvetleri ile bağlantılı UAC-0050, bu yıl Netsupport Manager kötü amaçlı yazılımları dağıtmaya geçerken, UAC-0006 kimlik avı saldırıları için Smokeloader kötü amaçlı yazılım kullanmaya devam ediyor.
Kurşun geçirmez barındırma yoluyla altyapı manipülasyonu
Her iki grup da tespit ve yasal hesap verebilirlikten kaçınmak için kurşun geçirmez barındırma sağlayıcılarına büyük ölçüde güveniyor. Global Connectivity Solutions LLP (AS215540) ve RailNet LLC (AS214943) gibi özerk sistemler operasyonlarının merkezinde yer almaktadır.
Bu ağlar genellikle Seyşeller gibi açık deniz yargı bölgelerinde kayıtlı ve siber suç ekosistemleriyle bağları olan varlıklar tarafından yönetilen kabuk şirketleri tarafından ön plana çıkarılır.
Örneğin, Zservers, yaptırımlı bir Rus barındırma sağlayıcısı, ağ öneklerini faaliyetlerini gizlemek için Rusya ve Seyşeller’deki yeni kurulan otonom sistemlere kaydırdı.
İngiltere merkezli bir ağ olan Global Connectivity Solutions LLP, Rus siber saldırıları için bilinen bir vekil olan Stark Industries (AS44477) aracılığıyla yönlendirerek Black Basta ve Cactus gibi fidye yazılım grupları için trafiği kolaylaştırır.
Benzer şekilde, RailNet LLC, kimlik avı ve spam kampanyaları gibi yasadışı faaliyetler için yeraltı forumlarında reklamı yapılan Rusya merkezli bir kurşun geçirmez barındırma sağlayıcısı olan Virtualine Technologies altında faaliyet göstermektedir.
Psikolojik operasyonlar ve casusluk
Kötü amaçlı yazılım kampanyalarına ek olarak, UAC-0050, Ukraynalı varlıkları hedefleyen “Yangın Hücreleri Grubu” kisvesi altında bomba tehditleri olan psikolojik operasyonlar yürütmüştür.
Bu e -postalar kritik altyapı istikrarsızlaştırmayı ve Ukrayna müttefikleri arasında korku yaymayı amaçlıyor.
Araştırmalar, AEZA International Ltd’den (AS210644) IP’lerin ve kurşun geçirmez barındırma sağlayıcılarına bağlı diğer ağların kullanımını ortaya koymaktadır.
Bu arada UAC-0006, Ukrayna’nın bankacılık sektöründeki muhasebecileri hedefleyen kimlik avı e-postaları aracılığıyla finansal hırsızlığa odaklanmaktadır.
SystemBC panelleri aracılığıyla yönetilen uzlaşmış Ukrayna vekillerinden yararlanan grup, altyapısını PSB Hosting Ltd (AS214927) ve diğer açık deniz sağlayıcıları gibi ağlara tekrar tekrar kaydırdı.
LS Trading Partners Inc ve Lupin Logistics Ltd gibi kabuk şirketlerinin kullanımı, bu barındırma sağlayıcıları tarafından kullanılan karmaşık yasal çerçeveleri vurgulamaktadır.
Bu varlıklar, kötü niyetli faaliyetleri kolaylaştırırken sahiplik ayrıntılarını gizler. Zservers yöneticileri, ABD, İngiltere ve Avustralya’dan yaptırımlara rağmen tutuklamaktan kaçındı ve bu ağların sökülmesinde zorlukları sergiliyor.
UAC-0050 ve UAC-0006’nın gelişen taktikleri, kurşun geçirmez barındırma çözümlerinden yararlanan siber suçluların artan sofistike olmasının altını çiziyor.
Altyapı küresel ağlara uyarlama yetenekleri, devlet destekli siber tehditleri azaltmayı amaçlayan siber güvenlik çabaları için önemli zorluklar doğurur.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!