UNC1151, Frostyneighbor veya hayalet yazar olarak da bilinen Belarus’a bağlı tehdit oyuncusu UAC-0057, Polonya ve Ukrayna’daki kuruluşları hedeflemek için resmi davet ve belgeler olarak poz veren sahte PDF’ler içeren silahlı arşivler kullanıyor.
Nisan 2025’ten bu yana, bu işlemler, gömülü VBA makroları ile Microsoft Excel elektronik tablolarından yararlanan enfeksiyon zincirleri sunmak için RAR ve ZIP dosyaları gibi sıkıştırılmış arşivleri kullanmıştır.
Genellikle MacRopack gibi araçlar kullanılarak gizlenmiş olan bu makrolar, sistem keşifleri ve daha fazla yük dağıtım için tasarlanmış kötü amaçlı DLL implantları gibi düşürülür ve yürütür.
Doğu Avrupa Siber Casusluk
Kampanyalar, Dijital Dönüşüm Bakanlığı’ndan Polonya Cumhuriyeti Genel Kurulu veya Ukrayna Hükümeti Hizmet Talimatları Kırsal Belediyeler Birliği’ne PDF Davetiyesi gibi tuzaklar için meşru içeriğin yeniden düzenlenmesi de dahil olmak üzere önceki UAC-0057 faaliyetlerine çarpıcı benzerlikler sergilemektedir.
Saldırganlar, bu görünüşte zararsız PDF’leri arşivler içinde cazibe olarak kullanarak, hassas ana bilgisayar bilgilerini toplayan, kalıcılık oluşturan ve komut ve kontrol (C2) sunucularından sonraki aşamalı kötü amaçlı yazılım getiren yürütme akışlarını başlatırken ilk tespitten kaçınmayı amaçlamaktadır.
Bu yaklaşım, UAC-0057’nin etki operasyonlarına ve casusluğuna tarihsel odaklanmasıyla uyumludur, genellikle NATO karşıtı anlatıları birleştirir ve Cloudflare tarafından korunan Slack ve Kişisel alanlar gibi bulut barındırılan C2’ye geçiş gibi araç setlerinde küçük evrimleri yansıtır.
Ayrıntılı enfeksiyon mekanizmaları
Mayıs-Temmuz 2025 arasında gözlemlenen Ukrayna’yı hedefleyen enfeksiyon zincirleri, “2025-2026.ar’ı kontrol etmek için liste” ve “SP_COM Confusrex-Obfuscated C# dlls’i doldurma planı gibi arşivleri içeriyor.
“DefenderProtectionsCope.Log” veya “SDW9GOBH0N.Log” gibi bu implantlar, “ip –info.ff.avast.com” için taleplerle işletim sistemi detaylarını, ana bilgisayar adı, CPU bilgilerini, antivirüs ürünlerini ve harici IP verilerini toplamak için WMI sorgularını kullanın.
Kalıcılık, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run gibi kayıt defteri anahtarları ile elde edilir ve yükler, “SweetGeoryarns.online/wp-content/uploads/2025/04/061022226/kims-cons.jpg taklit eden C2 URL’lerinden alınır.”
Nisan ve Mayıs 2025’ten itibaren Polonya hedefli zincirlerde, benzer XLS MacRos, UPX ile dolu C ++ DLL’leri, kalıcılık için planlanan görevleri kullanan “sdxhelp.dll” gibi, benign jpeg dosyalarına eklenen xor-decrypt sonraki aşamalı yükleri kullanır.
Harfang Labs raporuna göre, bazı varyantlar Cobalt Strike Beacons’ın “Medpagetoday.icu” gibi alanlarla iletişim kurmasına yol açıyor.
Çakışmalar, yeniden kullanılan kod segmentleri, LNK dosyalarını içeren özdeş yürütme mantığı ve regsvr32.exe veya rundll32.exe gibi araçları ve PublicdomainRegistry-kayıtlı .ICU alanlarını “Punandjokes.com” gibi taklit eden altyapı modellerini içerir.
UAC-0057’ye atfetme, MacRopack Obfusation, C2 için Slack Webhooks ve Doğu Avrupa Varlıklarının tutarlı hedeflemesi dahil olmak üzere Mantian, Sentinelone ve CERT-UA raporlarıyla paralelliklerle desteklenmektedir.
Slack entegrasyonu ve TLD gibi evrimlere, .shop’tan .icu/.online’a geçmesine rağmen, aktör, gelişmiş gizliliğe göre operasyonel sürekliliği önceliklendiren disiplinli, düşük sofistike taktiklerini sürdürerek Ukrayna, Polonya ve potansiyel olarak daha geniş Avrupa’ya devam eden tehditler öneriyor.
Bu kampanyalar, UAC-0057’nin uyarlanabilir ancak öngörülebilir metodolojisinin altını çizerek, veri açığa çıkmasını ve implant dağıtımını kolaylaştırmak için sosyal mühendisliği teknik sömürü ile harmanlıyor.
Savunucular, anormal makro yürütmeleri, olağandışı kayıt defteri değişikliklerini ve şüpheli .ICU alanlarına trafiği, riskleri azaltmak için izlemelidir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | Tanım |
|---|---|---|
| Hash (SHA-256) | 5DF1E1D67B92E2BBA8641561AF967E3A54EC73600283C66B09C8165DDCB7DE9 | Arşiv, Ukrayna Kampanyası, Temmuz 2025 |
| Hash (SHA-256) | 699C50014CDBE919855C25B3B15DFC8E64F7394518DA41D985A9D7BE31A71 | Arşiv, Ukrayna Kampanyası, Temmuz 2025 |
| Hash (SHA-256) | A2A2F0281EED6EC758130D2F2B5D4F578AC90605F7E16A07428316C9F6424E | DLL, Ukrayna Kampanyası, Temmuz 2025 |
| Hash (SHA-256) | 5FA19AA32776B6AB45A9A851746FBE189F7A668DAF82F396525C1A2F8B9D36 | DLL, Polonya Kampanyası, Mayıs 2025 |
| İhtisas | sweetgeorgiayarn.online | C2 Domain, Ukrayna Kampanyası, Temmuz 2025 |
| İhtisas | TaskAndPurpose.icu | C2 Domain, Polonya Kampanyası, Mayıs 2025 |
| Url | hxxps: // sweetgeorgiarns[.]Çevrimiçi/WP-Content/Uploads/2025/04/06102226/KIMS-CARDS.jpg | C2 URL, Ukrayna Kampanyası, Temmuz 2025 |
| Url | hxxps: // görev ve[.]ICU/Hews/Coast-Guard-0reg0n-c0ncrete.jpg | C2 URL, Polonya Kampanyası, Mayıs 2025 |
| Dosya Yolu | %LocalAppata%\ sdxhelp \ sdxhelp.dll | C ++ Downloader, Polonya Kampanyası, Mayıs 2025 |
| Kayıt Defteri Anahtarı | HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Audio Driver | Persistence, Ukrayna Kampanyası, Temmuz 2025 |
| Planlanan görev | \ Updatesdx | Persistence, Polonya Kampanyası, Mayıs 2025 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!