Ukrayna’nın hükümet acil müdahale ekibi CERT-UA, kötü şöhretli suç grubu UAC-0173’ün yeniden canlandığını bildirdi. Kritik Ukrayna devlet altyapısında hedeflenen siber saldırıları düzenlediği bilinen bu grup, çabalarını Ukrayna’nın noter ofislerine odakladı. Birincil hedefleri: noter bilgisayarlara yetkisiz uzaktan erişim elde etmek ve parasal kazanç için devlet kayıtlarını manipüle etmek.
Ukrayna Adalet Bakanlığı ve Devlet Özel İletişim Servisi, Ukrayna’nın kamu kayıt sistemlerini istikrarsızlaştırmayı amaçlayan daha geniş bir siber-ihale kampanyasının bir parçası olan bu saldırılara karşı savunmada özellikle aktiftir. Saldırılar, gelişmiş kötü amaçlı yazılımlar, sistem sömürüsü için gelişmiş araçlar ve kullanıcı hesabı kontrolü (UAC) gibi güvenlik önlemlerini atlatmak için çeşitli teknikler kullanır.
UAC-0173 grubunun saldırı metodolojisi
UAC-0173 Grubu ilk olarak CERT-UA’nın Ukrayna noter sistemlerini hedefleyen şüpheli etkinlikleri izlemeye başladığı Ocak 2025’in sonlarında ortaya çıktı. Saldırganlar, Ukrayna Adalet Bakanlığı’ndan resmi iletişim olarak gizlenmiş e -posta mesajlarını kullandılar. Bu e-postalar, “HAKA3.EXE” ve “10 Şubat 2025 No. 43613.1-03.exe” gibi kötü amaçlı dosyalara bağlantıları içeriyordu. Bu dosyalar açıldığında, saldırganların hedeflenen sistemlere ilk erişim sağlamasına izin veren DarkCrystalrat (DCRAT) kötü amaçlı yazılımını dağıttı.
Erişim kazanıldıktan sonra, saldırganlar RDPWrapper dahil olmak üzere ek kötü amaçlı yazılımlar kurdular. Bu araç, yerel güvenlik kontrollerini etkili bir şekilde atlayarak ve saldırganların etkilenen bilgisayarlara doğrudan erişim kazanmasına izin veren birden fazla uzak masaüstü protokol (RDP) oturumunu sağlar. Delik gibi araçlar kullanarak, internetten RDP bağlantıları oluşturabildiler ve operasyonlarını izlemeyi zorlaştırdılar.
Grup ayrıca, durum kayıtlarının web arayüzlerinde kullanılan giriş kimlik bilgilerini kesmek için Fiddler Proxy/Sniffer aracından yararlanırken, Xworm Stealer, pano ve tuşstroklardan kullanıcı adları ve şifreler gibi hassas verileri çalmak için kullanıldı.
Cert-UA’nın yanıtı ve siber güvenlik önlemleri
Yenilenen saldırıları keşfettikten sonra Cert-UA, savunmasız sistemleri korumak için hızla harekete geçti. Ukrayna Notarial Odası Siber Güvenlik Komisyonu ile işbirliği içinde çalışan CERT-UA, Ukrayna’nın altı bölgesinde tehlikeye atılmış sistemleri tanımladı. Bu sistemler hızlı bir şekilde izole edildi ve güvence altına alındı, bu da saldırganların bazı durumlarda kötü niyetli faaliyetlerini tamamlamasını önledi.
Ukrayna Adalet Bakanlığı, CERT-UA ile birlikte, sistemlerini başarılı saldırılar olasılığını azaltacak şekilde yapılandırmaları için noterlere rehberlik etti. Bu çabalara rağmen, devlet kayıtlarını değiştirme hizmetlerine olan talebin yüksek olmaya devam etmesi, UAC-0173’ün gelecekte noter sistemleri hedeflemeye devam etmesini sağladı.
CERT-UA, noterleri uyanık kalmaya ve şüpheli etkinlikleri derhal bildirmeye çağırdı. Ukrayna kolluk kuvvetleri, Ukrayna Ulusal Polisi Siber Güvenlik Komisyonu ve CERT-UA arasındaki işbirliği, ülkenin kamu sektörünü hedefleyen siber suçlulara karşı devam eden mücadelede hayati önem taşıyor.
Araçlar ve Taktikler
Saldırganlar kampanyalarını gerçekleştirmek için bir dizi gelişmiş araç kullandılar. Dahil olan temel kötü amaçlı yazılım aileleri arasında DCRAT ve XWORM bulunmaktadır. Bu araçlar, saldırganların verileri dışarı atmasına, mağdur faaliyetlerini izlemesine ve daha fazla uzlaşma sistemlerini izlemesine izin verdi. Ayrıca, RDPWrapper’ın kullanımı, saldırganların paralel RDP oturumları yürütmesini sağlayarak tehlikeye atılan sistemler üzerindeki kontrollerini artırdı.
CERT-UA tarafından tanımlanan kötü amaçlı dosyaların bazıları şunları içerir:
- Rdpwinst.exe – RDPWrapper aracını yüklemek için kullanılır
- Install.bat – Diğer kötü amaçlı programları yürütmek için bir toplu dosya
- HAKA3.EXE – DCRAT kötü amaçlı yazılımları yüklemekten sorumlu dosya
- hore.exe – İnternetten RDP bağlantılarını kolaylaştırmak için kullanılır
- xupwork3.exe – Muhtemelen, tehlikeye atılan sistemlerde kalıcılığı korumak için kullanılan başka bir kötü amaçlı yazılım parçası
Bu araçlar, e -posta ekleri ve tehlikeye atılan web sitelerinden doğrudan indirmeler de dahil olmak üzere çeşitli yöntemlerle dağıtıldı. Saldırganlar ayrıca kötü amaçlı dosyaları barındırmak için meşru dosya depolama hizmetleri kullandılar ve bu da tespiti geleneksel güvenlik araçları için zorlaştırdılar.
Uzlaşma Göstergeleri (IOCS)
Saldırı kampanyası ayrıca siber güvenlik uzmanlarının UAC-0173 faaliyetlerini izlemesine yardımcı olan uzlaşma göstergelerinin (IOCS) bir iz bıraktı. CERT-UA tarafından tanımlanan bazı IOC’ler, saldırıda kullanılan şüpheli dosya adlarını ve URL’leri içerir:
Dosya Hashes:
- 328c28456105504c489567fd630ac2
- Cbad5b2ca7391700679182274f769e8
- A6b692e0ed3d5cd6fd20820dd06608ac
Kötü amaçlı URL’ler:
- hxxps: //87.120.126[.]48/13:00
- hxxps: // 194[.]0.234.155/Information.exe için
- hxxps: // 91[.]92.246.18/upl/t1.exe
Bu göstergeleri izleyerek, siber güvenlik ekipleri devam eden saldırıları daha iyi belirleyebilir ve Ukrayna devlet kurumlarını daha fazla ihlalden korumak için karşı önlemler uygulayabilir.
RDPWrapper’ın saldırıdaki rolü
Bu kampanyada saldırganlar tarafından kullanılan en kötü amaçlı araçlardan biri RDPWrapper’dı. Bu araç, yerel güvenlik protokollerini atlamak ve enfekte makinede birden fazla RDP oturumunu etkinleştirmek için tasarlanmıştır. Taş ve Fiddler gibi diğer araçlarla birlikte RDPWrapper, saldırganların noter sistemlerine kalıcı erişim sağlamasına izin vererek durum kayıtlarını değiştirme gibi daha fazla kötü niyetli işlem yapmalarını sağladı.
TRDPWrapper’ın konuşlandırılması, araç, kritik sistem işlevlerine yetkisiz erişimi önlemek için tasarlanmış kullanıcı hesabı kontrolü (UAC) gibi güvenlik önlemlerini etkili bir şekilde atladığından, saldırının karmaşıklığını da vurgulamaktadır.
Çözüm
Ukrayna’nın devlet kayıtlarında yetkisiz değişiklikler talebi yüksek kaldıkça, UAC-0173 ve diğer siber suçlu grupların çabalarına devam etmesi bekleniyor. CERT-UA, Ukrayna Adalet Bakanlığı ve kolluk kuvvetleri arasındaki işbirliği, bu saldırıların etkisini azaltmada kritik olacaktır.
Ayrıca, noter sistemleri ve devlet kayıtlarını güvence altına alma çabaları ve gelişmiş siber güvenlik araçlarının konuşlandırılması, saldırı yüzeyinin azaltılması ve daha fazla ihlalin önlenmesi için gerekli olacaktır. Noterler, zamanında yanıt ve hafifletme sağlamak için CERT-UA’ya şüpheli bir etkinlik bildirmeleri istenir.