En az 2022’den beri aktif olan kalıcı bir tehdit oyuncusu olan UAC-0099, Ukrayna hükümeti, askeri ve savunma kuruluşlarına karşı sofistike siber-ihale operasyonları gerçekleştirerek, araç setini Haziran 2023, Aralık 2024 ve Ağustos 2025’ten itibaren CERT-UA uyarılarında belgelenen üç büyük kampanyada geliştirdi.
Başlangıçta, .lnk kısayolları ve yasal mahkeme celbi olarak gizlenmiş .hta dosyaları gibi kötü niyetli eklerle mızrak akhisli e-postalar yoluyla teslim edilen PowerShell tabanlı LonePage Loader’a güveniyor.
Grup, planlanan görevler ve kayıt defteri çalıştırma anahtarları aracılığıyla kalıcılık oluştururken, Keylogging için tarayıcı için ThumbChop ve Clogflag gibi ikincil yükleri getirdi.
Siber-İzin Kampanyaları
2024’ün sonlarına kadar, UAC-0099, arşiv çıkarımı üzerine otomatik yürütme için Winrar güvenlik açığı CVE-2023-38831’den yararlanarak uyarlandı, LonePage’i 3DES-Kesilmiş Powershell kodu içeren iki aşamalı bir yükleyiciye geçiş, .Net ikili–teneffüsle (Clough Cloudflare, Cloudflare, Cloudflarged Düzenli (Clouging Cloudgling Comping-Comping) tarafından çözüldü ( HTTP/HTTPS üzerinden.
2025’te aktör, birincil yükleyici olarak yenilenmiş bir C# kötü amaçlı yazılım paketi kibriti, backdoor komut yürütmesi için Matchwok ve HTA dosyalarında gizlenmiş VBScript aracılığıyla dağıtılan kapsamlı veri hırsızlığı için Dragstare tanıttı.
Rapora göre, kod çözme ve kalıcı yürütme için birden fazla planlanmış görev yaratarak, baz64/hex obfusation ve meşru süreçler gibi maskelenme gibi temel taktikleri korurken modüler, bellek içi tekniklere geçişi yansıtır.
Azaltma stratejileri
Miter ATT & CK Framework ile eşleştirilen UAC-0099’un taktikleri, Spearphishing (T1566.001/.002) yoluyla başlangıç erişimini, MSHTA.EXE ve Powershell (T1059.001, T1059.001, T1218.005) gibi kullanıcı tetiklenen lolbinler yoluyla yürütme, ADISTS Sistem güncellemeleri (T1053) kullanılarak kalıcılık ve kalıcılığa sahiptir. Kayıt Defteri Autoruns (T1547.001) ile birlikte “PDFOPentask” veya “UpdateeanImalsoftware”.
Savunma kaçırma, Wireshark gibi hata ayıklayıcılar için çok katmanlı kodlama, proses enjeksiyonu ve anti-analiz kontrollerini içerirken, kimlik bilgisi erişim tarayıcısı DPAPI şifresini (T1555.003) (T1555.003) hedefler ve keşif, yanal hareket için sistem/ağ ayrıntılarını (T1082, T1016) numaralandırır.
C2, gizlenmiş şifreli web protokollerine (T1071.001, T1573) güvenir
Kötü amaçlı yazılım yetenekleri konsolide edilmiştir: Matchboil indirmeleri Donanım parmak izlerinden türetilen “SN” gibi özel HTTP başlıklarını kullanarak, Matchwok yeniden adlandırılmış tercümanlardan AES-şifreli güç komutlarını yürütür ve hassas uzantılar, ekran görüntüleri ve keşif verileri ile dosyaları çalır, klasörlerde %\ lokal \ ‘ı keser.
Desenler, kullanıcı dizinlerindeki zararsız dosya adlarını (%appdata%,%genel%) ve tespitten kaçınmak için “çekirdek” ve “güncelleme” gibi terimleri harmanlayan görev kurallarını içerir.
Bu tehditlere karşı koymak için kuruluşlar, komut dosyası programlarını Applocker aracılığıyla kısıtlamalı, kodlanmış komutlar için PowerShell günlüğe kaydetmeyi etkinleştirmeli, planlanan görev yaratımlarını (olay kimliği 4698) izlemeli ve anormal HTTP trafiğini olağandışı başlıklar veya alanlarla avlamalıdır.
Ağ segmentasyonu, çok faktörlü kimlik doğrulama ve düzenli eser taramaları, VM anti-VM kontrolleri gibi dizeler için YARA kurallarını kullanarak kalıcılığı ve dışarı çıkmayı bozabilir ve bu gelişen aktörün operasyonlarının erken tespitini sağlayabilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!