UAC-0099, Ukrayna’nın CERT-UA’sının araştırdığı bir dizi sofistike siber saldırıda devlet yetkililerini, savunma güçlerini ve savunma-endüstriyel firmaları hedefleyen bir tehdit aktör organizasyonudur.
Saldırılar genellikle Ukr.net adreslerinden kimlik avı e-postaları ile, “mahkeme çağrıları” gibi konuları ve genellikle URL kısaltmalarıyla kısaltılmış meşru dosya paylaşım hizmetlerine bağlantılarla başlar.
Bu bağlantılar, kötü amaçlı HTML Uygulaması (HTA) dosyaları içeren çift aralıklı dosyalara yol açar.
Ukrayna savunmasını hedeflemek
Yürütme üzerine, HTA dosyaları, “PDFOPentask” adlı planlanmış bir görevin yanı sıra, onaltılık kodlu veri ve PowerShell koduyla geçici metin dosyaları oluşturan gizlenmiş VBScript dağıtıyor.
Bu görev, verileri bir .txt dosyasına kodlayan PowerShell komut dosyasını yürütür, onu “AnimalUpdate.exe” gibi bir yürütülebilir dosyaya yeniden adlandırır ve kalıcılığı sağlamak için planlanmış başka bir görevi “\ hayvanlar.
Bu zincir, LonePage gibi önceki varyantları potansiyel olarak değiştirerek kibrit kabı yükleyicisini dağıtır ve Matchwok Backdoor ve Dragstare Stealer gibi ek yüklerin yüklenmesini kolaylaştırır.
CERT-UA, UAC-0099’un değişen taktiklerin, tekniklerin ve prosedürlerin, Ukrayna’nın kritik sektörlerindeki casusluk ve veri eksfiltrasyonuna odaklanırken savunmalara uyum sağlayarak grubun kalıcı evriminin altını çizdiğini belirtiyor.
Kötü amaçlı yazılım bileşenlerinin teknik dökümü
C#’da geliştirilen Matchboil, WMI sorguları (örneğin, “BFEBFBFF000806EA”), BIOS Serialnumber, kullanıcı adı ve MAC adresi aracılığıyla CPU Processorid dahil sistem parmak izlerini toplayan bir yükleyici görevi görür.
Geostat gibi sunucularda “/articles/images/forest.jpg” gibi URI’lere HTTP GET istekleri kullanır.[.]Lat, yükleri Regex desenleri aracılığıyla çıkarıyor “”, Ardından Hex ve Base64 kod çözme.
Yükün bir .com uzantısı ile kaydedilir (örneğin, “%localAppdata%\ devicesMonitor \ deviCemonitor.com”) ve kayıt defteri çalıştırma anahtarları veya “DocumentTask” gibi planlanmış görevler aracılığıyla devam etti.
Başka bir C# backdoor olan MatchWok, çalışma zamanında .NET düzeneklerini derleyerek, PowerShell.exe’yi yeniden adlandırarak ve Stdin üzerinden yönlendirme komutlarını, Config.ini dosyalarında depolanan HTTPS’ye kadar HTTPS’ye ekstrelenerek yürütür.
Komutlar AES-256 İçinde Şifrelenmiş
Dragstare Stealer, ayrıca C#’da, Logins.json gibi dosyaların DPAPI üzerinden DPAPI üzerinden tarayıcı kimlik bilgilerini çalırken, tarayıcı kimlik bilgilerini çalırken kapsamlı sistem veri bilgisayar adı, işletim sistemi sürümü, RAM, disk detayları, ağ arayüzleri, ARP tabloları ve aktif TCP bağlantıları toplar.
Masaüstü gibi dizinleri ve .docx, .pdf ve .ovpn gibi dosya türleri için indirme dizinlerini tekrarlar, bunları “%localAppdata%\ norddragiscan” gibi evreleme klasörlerinden pespiltrasyon için zip formatında arşivler.
VM anti-VM kontrolleri ve ‘Nordstar’ gibi anahtarlar aracılığıyla kayıt defteri tabanlı kalıcılık kaçırma kaçırır. C2 etkileşimleri, operasyonel aşamaları işaretleyen bayrak dosyaları (örn. Sistem bilgisi koleksiyonu için “S1.txt”) ile statik URL’lere şifreli, baz64 kodlu istekleri içerir.
Bu araçlar, UAC-0099’un modüler yaklaşımını, yükleyicileri harmanladığını, backdoorları ve sürekli erişim ve veri hırsızlığı için stealer’ları vurguluyor.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Örnekler |
|---|---|
| Dosyalar | D24D29E814F275F4432BA9C61E327E41 (Summons-756_840_25.rar), 059da876312f83c5d10aeb7035eb7feb (animalUpdate.exe-Matchboil) 17F3DF06950610EBC7C9F4918ECE6E78 (DeviCemonitor.com – Matchwok), %LocalAppdata %\ norddragiscan \ s1.txt |
| Ev sahipleri | %Tmp%\ documenttemp.txt, c: \ users \ public \ downloads \ animalUpdate.exe, hkcu \ yazılım \ microsoft \ windows \ currentersion \ run’updatemonitor ‘, schtasks.exe /create /tn pdfopentask /tr “powershell.exe…” |
| Ağ | Court.ics3312@ukr[.]Net, 64[.]95.10.117, hxxps: // geostat[.]Lat/Makaleler/Images/Forest.jpg, Egyptanimals[.]com, secfileshare[.]com |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir