Ukrayna’nın bilgisayar acil müdahale ekibi (CERT-UA), savunma-sanayi kompleksinin çalışanlarına ve Ukrayna Savunma Kuvvetleri üyelerine karşı bir dizi hedefli siber saldırı bildirdi.
Bu saldırılar en azından 2024 yazından beri devam ediyor ve son aylarda arttı.
Saldırganlar, genellikle mevcut kişilerin hesaplarından güvence vererek, kötü amaçlı dosyaları dağıtmak için Signal Messenger uygulamasını kullanıyorlar.
Saldırı vektörü ve taktikler
Mart 2025’te CERT-UA, saldırganların toplantılardan raporlar içerdiğini iddia ederek sinyal yoluyla arşivlenmiş mesajlar gönderdiğini gözlemledi.
Bu arşivler tipik olarak bir PDF dosyası ve DarkCrystal Rat (DCRAT) uzaktan kumanda yazılımını şifresini çözmek ve başlatmak için tasarlanmış bir kriptor/yükleyici aracı olan DarkTortilla olarak sınıflandırılan bir yürütülebilir dosya içeriyordu.
Signal gibi popüler anlık mesajlaşma uygulamalarının kullanımı, geleneksel güvenlik önlemlerini atlayarak kontrolsüz bilgi alışverişi kanalları oluşturarak saldırı yüzeyini genişletir.
Yeminli mesajların içeriği, Şubat 2025’ten bu yana İHA’lar ve elektronik savaş ekipmanı gibi konulara odaklanmak için değişti.
Saldırganlar, hesapları önceden tehlikeye atılan bilinen kişilerden mesaj almakla ilgili güvenden yararlanmaktadır.
Bu taktik, güvenlik protokollerini atlamalarına ve savunma-sanayi kompleksi içindeki hassas bilgilere erişmelerini sağlar.
CERT-UA, bu etkinliği UAC-0200 tanımlayıcısı altında izledi ve bu tür şüpheli mesajların alıcılarını derhal raporlamaya çağırıyor.
Siber Tehdit Göstergeleri
CERT-UA, bu saldırılarla ilişkili birkaç dosya ve ağ göstergesi belirledi. Dosyalar, DarkCrystal sıçanını dağıtmak için kullanılan belirli karmalara sahip çeşitli yürütülebilir ve arşiv dosyaları içerir.
Ağ göstergeleri, saldırganların altyapısına bağlı çeşitli IP adresi ve URL’leri içerir.
Bu göstergeler, savunma sektöründeki potansiyel tehditleri belirlemek ve azaltmak için çok önemlidir.
Bu hedeflenen saldırılara yanıt olarak CERT-UA, şüpheli faaliyetlerin uyanıklığının ve hızlı raporlanmasının önemini vurgulamaktadır.
Kötü amaçlı yazılımları dağıtmak için anlık habercilerin kullanılması, siber tehditlerin gelişen doğasını ve tüm iletişim kanallarında güçlü güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin