2024’te, Rusya-Ukrayna savaşı Kuzey Kore ve Rusya arasındaki askeri ve ekonomik işbirliği uzadıkça, siber uzay uluslararası çatışma için merkezi bir savaş alanı olarak ortaya çıktı.
Rusya, uluslararası yaptırımlardan ekonomik baskıyı hafifletmek ve savaş yeteneklerini desteklemek için siber saldırıları giderek daha fazla kullanıyor.
Bu değişim, üretim ve enerjiden yarı iletkenlere ve finansmana kadar dünya çapında büyük ülkelerdeki kritik endüstrilere karşı hedeflenen kampanyalara yol açtı.
2024 boyunca raporlar, Rus yanlısı hack gruplarının, özellikle sektör sektörüne (UAC-0050 olarak da bilinir), kamu kurumlarına yönelik ayrım gözetmeden dağıtılmış hizmet reddi (DDOS) saldırılarının ve özel işletmelere düzenlenmiş hassas girişler olduğunu ortaya koymaktadır.
Güney Kore’de, mızrak aktı e-postaları Kasım ayında dolaşmaya başladı, yöneticileri ve çalışanları, sıkıştırılmış dosyalar olarak eklenmiş sahte satın alma siparişleri ve alıntı talepleri ile üretim, enerji ve yarı iletken sektörlerinde cezbediyor.
Sigorta ve perakende şirketlerinin aynı kötü amaçlı yazılım yükleyicilerine ve ağ altyapı göstergelerine kurban edildiği Ukrayna aylarında da benzer taktikler belgelenmiştir.
Bu kampanyalar, hem açık kesintiler hem de gizli casusluktan yararlanarak stratejik endüstrileri zayıflatmak için koordineli bir küresel çabayı vurgulamaktadır.
Saldırı Metodolojisi
SectorJ149’un operasyonları genellikle dört aşamada ortaya çıkar: başlangıç erişim, yürütme, kalıcılık ve savunma kaçakçılığı.
İlk erişim, .cab dosyalarında paketlenmiş gizlenmiş Visual Basic Script (VBS) kötü amaçlı yazılımları içeren özel mızrak-aktı mesajları ile elde edilir.
Yürütüldüğünde, VBS komut dosyası Bitbucket veya GitHub’dan bir görüntü dosyasını (img_test.jpg) getiren gizli bir PowerShell komutunu çağırır.
Bu görüntü, şifre çözüldükten sonra, bellekte taşınabilir bir yürütülebilir (PE) dosyası olarak yüklenen bir baz 64 kodlu yükü gizler-disk tabanlı algılama.
Bellek içi PE yükleyici .txt dosyaları olarak gizlenmiş ek modülleri alır, bunları şifresini çözer ve son aşama kötü amaçlı yazılımları meşru süreçlere enjekte eder.
Kalıcılığı korumak için, yükleyici VBS komut dosyasını HKEY_CURRENT_USER kayıt defteri kovanı altına kaydeder ve varsayılan kullanıcı düzeyinde yazma izinlerinden yararlanır.
Savunma kaçırma, kod gizlemesi, gizli Powershell pencereleri, görüntü dosyaları içindeki steganografi ve proses oyma ile güçlendirilir.
PE kötü amaçlı yazılım, belirli parametre değerleri sağlanmadıkça, güvenlik sistemlerinde veya güvenlik analistlerinin analiz ortamlarında yürütme olasılığını engelleyen çalışmayacak şekilde tasarlanmıştır.
Ayrıca, yürütme belirli parametrelerle geçer ve kum havuzu veya analist ortamlarında çalışmayı önler.
Çıkarımlar ve atıf
Bozulmanın ötesinde, Lumma Stealer, Formbook, Remcos Rat, Tektonit RMS, Medusa Stealer, Xeno Rat ve Mars Stealer gibi son aşama kötü amaçlı yazılım-bilgi hırsızlığı üzerine odaklanıyor.
Bu suşlar, kripto para birimi cüzdan tohumu ifadeleri, özel anahtarlar, tarayıcı kimlik bilgileri (metamask ve güven cüzdanı dahil), VPN ve FTP istemci verilerini hasat eder ve gerçek zamanlı ekran görüntüleri ve tuş vuruşları yakalar. Çalınan veriler daha fazla işlemi finanse edebilir veya kritik tedarik zincirlerine olan güveni aşındırabilir.
Sektöre atıf, kötü amaçlı yazılım yükleyicilerinin tiyatrolarda yeniden kullanılması, Base64 kodlama ve git barındırılan yük dağılımının tutarlı kullanımı ve dosya ve ağ tabanlı göstergelerin korelasyonu ile güçlendirilir.
Ukrayna’nın Ekim kampanyalarından gelen göstergeler, Güney Kore’nin Kasım saldırılarına yakından uyumlu ve ortak altyapı ve taktiklerden yararlanan tek bir tehdit aktörünü öneriyor.
Tarihsel olarak finansal kazançla motive olsa da, son sektör149 müdahaleleri belirgin bir hacktivist çizgisi sergiliyor – bu, rakip devletlere karşı siyasi veya ideolojik mesajları iletmek için siber teknikleri kaldırıyor.
Jeopolitik gerilimler yoğunlaştıkça, Rus yanlısı siber aktörler kaynakları kilit endüstrilere karşı yüksek etkili saldırılara yönlendiriyor.
Karanlık Web pazarları ve devlet uyumlu hack hedefleri üzerinde hizmet olarak gelişmiş kötü amaçlı yazılım tekliflerinin yakınsaması, gelişen tehdit manzarasının altını çiziyor.
Milletler ve şirketler kimlik avı savunmalarını güçlendirmeli, bellek içi tespit yeteneklerini güçlendirmeli ve bu sofistike kampanyaları azaltmak için proaktif olarak tehdit istihbaratını paylaşmalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.