Ukrayna hükümet ajansları, Windows işletim sistemlerini sunucu olarak çalıştıran endüstriyel kontrol sistemleri (ICS) cihazlarını hedefleyen UAC-0001 grubu tarafından düzenlenen, UAC-0001 grubu tarafından düzenlenen sofistike bir siber saldırı kampanyasının kurbanı oldu.
Mart ve Nisan 2024 arasında meydana gelen saldırılar, devlet destekli siber savaş taktiklerinde önemli bir artışı temsil ederek kritik altyapı sistemlerine nüfuz etmek için gelişmiş teknikler gösteriyor.
Kampanya, saldırganların iki temel kötü amaçlı yazılım aracı: Beardshell ve SlimaGent’i başarıyla kullandığı merkezi bir yönetici organının bilgi iletişim sistemini hedefledi.
.png
)
Bu sofistike yazılım araçları, sürekli erişim sağlamak ve tehlikeye atılan ağlar içinde kapsamlı gözetim operasyonları yürütmek için tasarlanmıştır.
Saldırı metodolojisi, sinyal mesajlaşma platformu aracılığıyla sosyal mühendislik taktikleri ile başlayıp ileri arka kapı yeteneklerinin konuşlandırılmasıyla sonuçlanan çok aşamalı bir yaklaşım kullandı.
CERT-UA analistleri, olay müdahale soruşturmaları sırasında teknik cihazları belirleyerek, tehlikeye atılan sistemlerin tehdit aktörleri için aktif olarak komuta ve kontrol altyapısı olarak hizmet ettiğini keşfettiler.
Araştırmacılar, ilk uzlaşma yönteminin, kullanıcı etkileşimi üzerine yürütmek üzere tasarlanmış kötü amaçlı makrolar içeren sinyal aracılığıyla “Act.doc” başlıklı bir belge gönderen kimliği belirsiz bir kişiyi içerdiğini belirtti.
Bu dağıtım yöntemi, geleneksel e -posta güvenlik önlemlerini atladığı ve sinyal iletişimi ile ilişkili güveni kullandığı için özellikle etkili olmuştur.
Saldırının kapsamı, Mayıs 2025’te alınan operasyonel zeka ile ilk Mart-Nisan 2024 zaman diliminin ötesine uzanmıştır.
Bu vahiy, birden fazla infiltrasyon aşaması ve veri açığa çıkma faaliyetleri ile uzun süreli bir kampanya önermektedir.
Saldırganlar, ilgili hükümet departmanlarındaki işler hakkında özel bilgilere sahip olan hedefleri hakkında ayrıntılı bilgi gösterdiler.
Enfeksiyon mekanizması ve kalıcılık taktikleri
UAC-0001 tarafından kullanılan enfeksiyon zinciri, sistem uzlaşması ve kalıcılığa yönelik çok katmanlı yaklaşımında dikkate değer bir karmaşıklık göstermektedir.
Kötü amaçlı ACT.doc belgesinin etkinleştirilmesi üzerine, gömülü makro kodu, dikkatle düzenlenmiş bir dosya oluşturma ve kayıt defteri manipülasyon işlemleri dizisi yürütür.
Makro iki kritik dosya oluşturur: %APPDATA%\microsoft\protect\ctec.dll Ve %LOCALAPPDATA%\windows.pngeşzamanlı olarak bir com-hiJacking kayıt anahtarı oluştururken HKCU\Software\Classes\CLSID\{2227A280-3AEA-1069-A2DE-08002B30309D}\InProcServer32.
CTEC.dll dosyası, görünüşte zararsız Windows.png dosyasında depolanan kabuk kodunun işlenmesinden ve yürütülmesinden sorumlu birincil şifre çözme mekanizması olarak hizmet eder.
Bu kabuk kodu daha sonra Koofr Service API’sı aracılığıyla komut ve kontrol sunucularıyla iletişim kurarak doğrudan sistem belleğine (ksmqsyck.dx4.exe) Covenant Framework bileşenini (ksmqsyck.dx4.exe) başlatır.
Meşru bulut depolama hizmetlerinin iletişim kanalları olarak seçimi, saldırganların ağ algılama mekanizmalarından kaçınma konusundaki taahhüdünü göstermektedir.
Kalıcılık mekanizması, sistem yeniden başlatıldıktan sonra bile sürekli erişimi sağlamak için ek kayıt defteri girişleri oluşturarak büyük ölçüde COM-HiJacking tekniklerine dayanmaktadır.
Kötü amaçlı yazılım, kayıt defteri anahtarı aracılığıyla ikincil bir kalıcılık yöntemi oluşturur HKEY_CURRENT_USER\Software\Classes\CLSID\{2DEA658F-54C1-4227-AF9B-260AB5FC3543}\InProcServer32Playsndsrv.dll’nin meşru pencerelerden geçirilmesini tetikleyen planlanan görev Microsoft\Windows\Multimedia\SystemSoundsService.
Bu teknik, tehdit aktörlerinin Windows sistemi içselleri hakkındaki sofistike anlayışını ve meşru sistem işlevlerini kötü niyetli amaçlar için kötüye kullanma yeteneklerini örneklendirir.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial