2024’te, Rusya-Ukrayna savaşı Kuzey Kore ve Rusya arasındaki askeri ve ekonomik işbirliği uzadıkça, siber uzay uluslararası çatışma için merkezi bir savaş alanı haline geldi.
Rusya, uluslararası yaptırımlardan elde edilen ekonomik baskıyı hafifletmek ve savaşla mücadele yeteneklerini geliştirmek için siber saldırılardan yararlanarak dünyanın dört bir yanındaki büyük ülkelerdeki kilit endüstrileri hedefliyor.
Kasım 2024’te, Güney Kore güvenlik firmaları, Rusya merkezli bir siber suç grubu olan Sectorj149 tarafından düzenlenen mızrak aktı kampanyalarını ortaya çıkardı.
Üretim, enerji ve yarı iletken sektörlerindeki yöneticiler ve çalışanlar, meşru teklif talepleri veya tesis satın alma siparişleri olarak maskelenen e -postalar aldı.
Bu e -postalar, çıkarıldıktan sonra gizlenmiş bir görsel temel komut dosyası (VBS) damlasını tetikleyen sıkıştırılmış .cab ekleri içeriyordu.
VBS komut dosyası, Bitbucket veya GitHub’dan görünüşte zararsız bir görüntü dosyasını indirmek için tasarlanmış gizli bir PowerShell komutu yürüttü.
Görüntü içinde, kötü amaçlı kod steganografi yoluyla gizlendi, daha sonra disk tabanlı savunmalardan kaçmak için tamamen bellekte çalışan taşınabilir yürütülebilir (PE) yükleyici tipi bir kötü amaçlı yazılımda şifre çözüldü.
Yürütücü yürütüldükten sonra, metin dosyaları olarak gizlenmiş ek yükler getirdi, bunları şifresini çözdü ve son aşama kötü amaçlı yazılımları enjekte etti-genellikle özelleştirilmiş “stealer” veya sıçan varyantları-meşru süreçler.
Sonuçta, hedef sistemlerin kontrolünü ele geçirmek ve bilgileri çalmak için karanlık web ve karaborsadan satın alınan özelleştirilmiş kötü amaçlı yazılımları kullandılar.
VBS yükleri altına kaydedilerek kalıcılık elde edildi HKEY_CURRENT_USER\Run veya RunOnce Kullanıcı düzeyinde izinlerle yürütmeyi sürdürmek.
Savunma-reddetme teknikleri, kötü niyetli aktiviteyi maskelemek için şaşkınlık, gizli PowerShell pencereleri, fastessiz yürütme ve süreç oyalamasını içeriyordu.
Hizmet Olarak Kötü Yazılım Yakıtları
Sectorj149, cephaneliğinin çoğunu karanlık web ve kara pazar kötü amaçlı yazılımlar (MAAS) tekliflerinden kaynaklamaktadır. Dikkate değer örnekler şunları içerir:
- Lumma Stealer: İlk olarak 2022’de görüldü, Telegram Bots aracılığıyla satıldı, tarayıcı çerezlerini, şifreleri ve kripto para cüzdanı kimlik bilgilerini söndürüyor.
- Formbook: 2016 yılında piyasaya sürülen, sonuçları C2 sunucularına iletmeden önce tuş vuruşlarını, pano verilerini ve ekran görüntülerini hasat eder.
- Remcos Rat: Başlangıçta meşru bir uzaktan uygulama aracı, girdi ve kontrol enfekte sistemleri yakalamak için siber suçlular tarafından yeniden tasarlandı.
- Medusa ve Mars Stealers: Her ikisi de tarayıcı eklentisi ve uygulama hasadı aracılığıyla kapsamlı kimlik hırsızlığı ve cüzdan veri pespiltrasyonu sunar.
- Xeno Rat ve Tektonit RMS: Bu uzaktan yönetim araçları, daha fazla müdahale için gizli erişim ve proxy özellikleri sağlar.
MAA satın alarak, Rus bağlantılı gruplar kampanyalarını jeopolitik hedeflere hızla uyarlayabilir ve tamamen finansal kazançtan devlet odaklı hacktivizme doğru ilerleyebilir.
Küresel endüstri için çıkarımlar
Güney Kore’ye Karşı Sektör149 kampanyası, Ekim 2024’te sigorta ve perakende firmalara yapılan saldırılarda aynı yükleyici ikili ve altyapı göstergelerinin gözlemlendiği Ukrayna’daki önceki operasyonları yansıtıyor.
PE kötü amaçlı yazılımların yürütülmesi, PowerShell Komutanlığı’nın işleminin sonunu işaret eder.
GitHub, Base64 kodlaması ve görüntü tabanlı steganografinin paylaşılan kullanımı, Rus stratejik hedefleriyle uyumlu birleşik bir araç setinin altını çiziyor.
Jeopolitik gerilimler arttıkça, siber saldırılar sadece suç girişiminden ziyade ulusal politikanın araçları olarak ortaya çıkmaktadır.
Rusya’nın ekonomik esnekliği ve eleştirel altyapıyı zayıflatmak için siber savaş kullanması, büyük ekonomiler için önemli bir zorluk oluşturmaktadır.
Güney Kore ve diğer hedefli ülkeler için proaktif siber tehdit istihbarat (CTI) çerçeveleri oluşturulması esastır.
Gerçek zamanlı izleme, otomatik tehdit paylaşımı ve koordineli olay yanıtı, saldırıları önlemeye ve hayati üretim, enerji ve yarı iletken varlıklar etrafındaki savunmaları güçlendirmeye yardımcı olacaktır.
Sadece sürekli uyanıklık, sektörler arası işbirliği ve ileri tespit teknolojilerine yapılan yatırımlar, uluslar gelişen tehdit manzarasını azaltabilir.
Rusya siber operasyonları silahlandırmaya devam ettikçe, kritik endüstrilerin güvenliği, küresel topluluğun stratejik siber saldırıları öngörme, bozma ve caydırma yeteneğine bağlı olacaktır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.