Yakın tarihli bir gelişmede, Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), UAC-0006 etiketli yeni bir siber saldırı kampanyasını ortaya çıkardı. Bu kampanya, SmokeLoader kötü amaçlı yazılımının dağıtılmasını, güvenliği ihlal edilmiş e-posta hesaplarından yararlanılmasını ve çeşitli dağıtım yöntemlerinin kullanılmasını içerir.
Saldırı yalnızca taktiklerde, tekniklerde ve prosedürlerde (TTP’ler) değişiklikler sergilemekle kalmaz, aynı zamanda saldırganın araç setindeki potansiyel bir genişlemeyi de ortaya çıkarır.
Bu makale, UAC-0006 siber saldırısını daha derinlemesine incelemeyi, tekniklerinin sonuçlarını analiz etmeyi ve gelişen bu tehdidin önemine ışık tutmayı amaçlamaktadır.
SmokeLoader kötü amaçlı yazılım dağıtım yöntemleri
CERT-UA’nın araştırması, UAC-0006’nın arkasındaki siber suçluların, SmokeLoader kötü amaçlı yazılımını yaymak için güvenliği ihlal edilmiş meşru posta kutularını kullandığını ortaya çıkardı.
Kötü amaçlı yazılım, e-posta eklerini ve sıkıştırılmış dosyaları içeren bir dizi karmaşık adımla gönderilir. Spesifik olarak, aşağıdaki dağıtım zincirleri gözlemlenmiştir:
- EML -> ZIP -> HTML (JavaScript) -> ZIP -> JavaScript (Yükleyici) -> EXE -> SmokeLoader
- EML -> RAR -> VHDX -> JavaScript (Yükleyici) -> EXE -> SmokeLoader
- EML -> RAR -> VHD -> JavaScript (Yükleyici) -> EXE -> SmokeLoader
Özellikle, VHDX dosyalarının incelenmesi sırasında, “Bildirim hileli işlem SIRION.scr” adlı bir Cobalt Strike Beacon kötü amaçlı yazılım dosyası keşfedildi. Bulgu, UAC-0006 saldırganlarının cephaneliklerini genişletiyor ve ek araçlar kullanıyor olabileceğini gösteriyor.
SmokeLoader kötü amaçlı yazılımı: Taktikler, teknikler ve prosedürlerdeki değişiklikler
UAC-0006 kampanyası, taktiklerinde önceki yinelemelere kıyasla birkaç önemli değişiklik sergiliyor.
Birincisi, saldırganlar potansiyel olarak başarılı sızma şanslarını artırmak için dağıtım zincirlerini çeşitlendirdi. Siber suçlular, birden fazla yöntem kullanarak farklı güvenlik açıklarından yararlanmaya ve tespit edilmekten kaçınmaya çalışır.
Ek olarak, araştırma sırasında keşfedilen dağıtılmış SmokeLoader kötü amaçlı yazılım örnekleri, çoğunluğu kayıtlı olmayan alan adları olmak üzere 26 botnet yönetim sunucusu URL’si içeriyor.
Bu, saldırganların botnet altyapılarını yönetmek için merkezi olmayan bir yaklaşım benimsediğini ve operasyonlarını kesintiye uğratmayı daha zor hale getirdiğini gösteriyor.
Cobalt Strike Beacon kötü amaçlı yazılımının SmokeLoader ile birlikte bulunması, UAC-0006 grubunun genişleyen araç seti hakkında endişeleri artırıyor.
Cobalt Strike, güçlü yetenekleri nedeniyle gelişmiş kalıcı tehdit (APT) aktörleri tarafından tercih edilen gelişmiş bir araçtır.
Bu kötü amaçlı yazılımın dahil edilmesi, UAC-0006 grubunun gelişmiş saldırı araçlarına erişebileceğini ve daha karmaşık operasyonlar için potansiyellerini artırabileceğini gösteriyor.
Rus alan adı kayıt şirketlerinden ve sağlayıcılarından yararlanma
UAC-0006 saldırganları, kötü amaçlı faaliyetlerini gerçekleştirme peşinde, @reg.ru, @nic.ru, @iqhost.ru, @macloud.ru ve @cloudx.ru dahil olmak üzere Rus alan adı kayıt şirketlerini ve hizmet sağlayıcılarını kullanır. .
Bu altyapı ortakları seçimi, siber suçluların operasyonlarına fazladan bir karmaşıklık katmanı eklerken kötü niyetli gündemlerini ilerletmelerini sağlar.
Yabancı etki alanı kayıt şirketlerinin ve sağlayıcıların kullanımı, kötü amaçlı altyapının izlenmesi ve ortadan kaldırılması için zorluklar ortaya çıkarıyor ve bu tehditle etkili bir şekilde mücadele etmek için siber güvenlik kuruluşları arasında uluslararası işbirliği gerektiriyor.
Azaltma önerileri
UAC-0006’nın oluşturduğu tehdit ve kullanılan teslimat yöntemi göz önüne alındığında, saldırı yüzeyini en aza indirmek için proaktif önlemler almak çok önemlidir.
CERT-UA, Windows Komut Dosyası Sisteminin (wscript.exe, cscript.exe) kullanımının, SmokeLoader’ın teslim edilmesinde ve başlatılmasında etkili olan JavaScript yükleyicilerini yürütmek için sınırlandırılmasını önerir.
Kuruluşlar, bu teknolojinin bilgisayarlarda kullanımını kısıtlayarak UAC-0006 ve benzeri kötü amaçlı yazılım kampanyalarının kurbanı olma riskini azaltabilir.
SmokeLoader kötü amaçlı yazılımının dağıtımına odaklanan UAC-0006 siber saldırı kampanyası, gelişen ve endişe verici bir tehdidi temsil ediyor.
Saldırganlar, çoklu dağıtım zincirlerinin uygulanması ve Cobalt Strike Beacon kötü amaçlı yazılımının dahil edilmesiyle, gelişmiş araçlara uyum ve erişim gösterebildiklerini gösterdiler.
UAC-0006 grubu, güvenliği ihlal edilmiş e-posta hesaplarından yararlanarak ve Rus alan adı kayıt şirketlerinden ve sağlayıcılarından yararlanarak, hem siber güvenlik uzmanları hem de benzer kuruluşlar için önemli bir zorluk teşkil ediyor.
Tetikte olmak, işbirliği yapmak ve hafifletme stratejilerinin benimsenmesi, bu gelişen tehdit ortamıyla ilişkili risklerin azaltılmasında esastır.