En az 2022’den beri aktif olan sofistike bir tehdit oyuncusu grubu olan UAC-0099, Ukrayna devlet kurumlarını, askeri örgütlerini ve savunma-sanayi varlıklarını hedefleyen gelişen siber-ihale kampanyaları aracılığıyla önemli bir siber güvenlik tehdidi oluşturmaya devam ediyor.
Grup, 2023-2025 arasında yer alan üç ana operasyonel aşamada dikkate değer bir uyarlanabilirlik göstererek, amaçlanan hedeflerine karşı etkili olduğu kanıtlanmış tutarlı temel taktikleri korurken araç setini sistematik olarak geliştirmiştir.
Tehdit oyuncunun ilk ortaya çıkışı, 2022 ve 2023 yıllarında kötü niyetli operasyonlarının temelini oluşturan PowerShell tabanlı bir yükleyici olan LonePage’in konuşlandırılmasıyla işaretlendi.
Bu erken enkarnasyon, UAC-0099’un kötü niyetli ekler içeren mızrak aktı e-postaları, özellikle de mahkeme celbi veya mahkeme çağrıları gibi yasal belgeler olarak maskelenenleri tercih etti.
Grubun sosyal mühendislik taktiklerinden yararlanma yeteneği, teknik sofistikeleriyle birleştiğinde, Ukrayna’nın kritik altyapı sektörlerinde yüksek değerli hedefleri başarılı bir şekilde tehlikeye atmalarını sağladı.
2024’ün sonlarında, UAC-0099, geleneksel kimlik avı yaklaşımlarının yanı sıra Winrar güvenlik açığı CVE-2023-38831’in sömürülmesini içeren teslimat mekanizmalarını önemli ölçüde geliştirmişti.
Bir analist ve araştırmacı olan Simkra, bu geçiş döneminin grubun operasyonel metodolojisinde önemli bir değişime işaret ettiğini ve kaçınma yeteneklerini artıran daha karmaşık iki aşamalı bir yükleyici yaklaşımı getirdiğini belirtti.
.webp)
Saldırganlar, 3DES şifrelemesini kullanarak PowerShell yüklerini şifrelemeye ve bunları App.lib.conf gibi dosyalarda saklamaya, güncelleme.win.app.com gibi .NET ikili bileşenlerini kullanıyor ve bellekteki kötü amaçlı kodun şifresini çözmek ve yürütmek için.
En dramatik dönüşüm, Matchboil, Matchwok ve Dragstare’i içeren tamamen yeni bir C# kötü amaçlı yazılım paketi ile 2015 ortalarında meydana geldi.
Bu, teknoloji altyapılarının tam bir revizyonunu temsil ederek grubun güvenlik bilincini ve savunma önlemlerini artırmasına rağmen operasyonel etkinliği koruma taahhüdünü gösteriyor.
.webp){kind=spacer}
Yeni araç seti, komuta ve kontrol iletişiminde gelişmiş sofistike, veri açığa çıkma özellikleri ve güvenlik araştırmacılarını ve otomatik algılama sistemlerini önlemek için tasarlanmış anti-analiz özelliklerini sergiliyor.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
UAC – 0099’un kalıcılık taktikleri, Windows işletim sistemi mimarisi ve ortak idari uygulamalar hakkında sofistike bir anlayış ortaya koymaktadır.
Grup, birincil kalıcılık mekanizmaları olarak planlanan görevleri sürekli olarak kullanır ve tipik sistem bakım faaliyetlerine sorunsuz bir şekilde karışan “OneDriveupdatecorefilessTart” ve “FileExplorerupDatetaskmachinecore” gibi aldatıcı meşru isimlerle görevler oluşturur.
Bu görevler, genellikle 3-4 dakikada bir, sık sık aralıklarla yürütülecek şekilde programlanmıştır ve düşük profilli tutarken sürekli kötü amaçlı yazılım çalışması sağlar.
2025 Matchboil Loader, çok katmanlı kodlama yaklaşımı ile gelişmiş gizleme tekniklerini örneklendirir.
Kötü amaçlı yazılım, görünüşte zararsız web içeriği içinde gizlenmiş yükleri alır, özellikle hem onaltılık hem de Base64 kod çözme işlemlerine tabi tutulan komut dosyası etiketleri arasında yer alan verileri arar:-
Bu teknik, kötü amaçlı yazılımların komuta ve iletişimleri meşru web trafiği olarak gizlemesine izin verir ve algılamayı ağ güvenlik izleme sistemleri için önemli ölçüde daha zorlaştırır.
Matchboil, komut ve kontrol iletişimleri sırasında “SN” etiketli özel HTTP başlıkları aracılığıyla iletilen CPU kimliği, BIOS seri numaraları ve MAC adreslerini kullanarak benzersiz ana bilgisayar tanımlayıcıları üreterek gizli yeteneklerini daha da geliştirir.
Grubun maskelenme teknikleri, meşru sistem konumlarını taklit eden dizinlere kötü amaçlı dosyaların stratejik yerleştirilmesini içerecek şekilde basit dosya adı gizlemenin ötesine uzanır.
Dosyalar genellikle şüphe etmek için Microsoft’un dizin yapılarına aşina olarak yararlanarak %localAppdata %\ DevicesMonitor \ ve %AppData %\ microsoft \ windows \ Templates \ gibi yollarda saklanır.
Ek olarak, UAC-0099, IDAQ, Fiddler, Wireshark ve Ollydbg dahil olmak üzere yaygın hata ayıklama ve izleme süreçleri için anti-analiz kontrolleri ekleyerek güvenlik aracı tespiti konusunda farkındalık gösterir ve bu araçlar algılandığında kötü amaçlı yazılımlarının davranışları değiştirmesine veya sonlandırılmasına neden olur.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın