CERT-UA’dan (Ukrayna Devlet Bilgisayar Acil Müdahale Ekibi) yakın zamanda yapılan bir danışmana göre, UAC-0212 olarak izlenen sofistike bir tehdit kümesi, Ukrayna’daki kritik altyapı sistemlerini tehlikeye atma çabalarını artırdı.
Temmuz 2024’ten bu yana aktif olan bu saldırılar, koordineli tedarik zinciri uzlaşmaları yoluyla enerji, su temini, tahıl lojistiği ve ulaşım sektörlerine odaklanmaktadır.
Grup, endüstriyel kontrol sistemlerini (ICS) ve operasyonel teknolojiyi (OT) bozmak için yıkıcı yükler, gelişmiş kalıcılık mekanizmaları ve yeni kaçırma teknikleri kullanır.
UAC-0212, geleneksel siber sorumlulukları yıkıcı hedeflerle harmanlayan kötü şöhretli UAC-0002 (Sandworm/APT44) grubunun bir alt kümesi olarak çalışır.
İlk enfeksiyon vektörleri, silahlandırılmış PDF belgeleri içeren kimlik avı e -postalarını içerir. Bu PDF’ler kötü niyetli LNK dosyalarını gizler (CV_Vitaliy_Klymenko_22.11.2024.pdf.lnk) CVE-2024-382’den yararlanan, keyfi PowerShell komutunun yürütülmesini sağlayan kritik bir Windows güvenlik açığı.
Ukrayna Bilgisayar Acil Müdahale Ekibi, etkinleştirme üzerine, bu dosyaların arka planda ikinci, ampirepast ve kıvılcım gibi modüler kötü amaçlı yazılımları dağıtırken tuzak belgelerini indirdiğini belirtti.
Saldırganlar RSYNC gibi meşru ağ protokollerinden yararlanır (C:\Windows\Microsoft\Rsync\rsync.exe) yanal hareket ve veri eksfiltrasyonu için.
Kalıcı panolar kayıt defteri modifikasyonları ile kurulur (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemZ_611) ve başlangıç komut dosyaları (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\updater.vbs).
Saldırı Zinciri ve Kötü Yazılım Araç Seti
Enfeksiyon zinciri, gizlenmiş PowerShell komutları içeren kötü niyetli bir PDF ile başlar. Örneğin, aşağıdaki snippet, XOR tabanlı yük şifrelemesini kullanır ve komut ve kontrol (C2) için 62.113.238.72’ye bağlanır:-
powershell JAB1AHIAbAAgAD0AIAAiAGgAdAB0AHAAcwA6AC8ALwBmAGUAbQB1AG4AZABlAG4AZwBlAHIAZABh... [truncated] JABTAHQAcgBpAG4AZwBSAGEAbgBkAG8AbQBGAG8AbABkAGUAcgAgAD0AIABHAGUAdAAtAFIAYQBuA... [truncated]
Anahtar yükler şunları içerir:-
- İkinci Bilgi: Crookbag’ı dağıtan Golang tabanlı bir yükleyici (SHA256:
9bdf252eec4cf8a32cd92be3568e6187e80a80ecc5c528439312fb263cda8905). - Empirepast: DLL Sideloader (
ssowoface.dllSHA256:1be7c11d50e38668e35760f32aac9f9536260d58685d3b88bcb9a276b3e0277a) Meşru yazılım güncellemelerini taklit etmek. - Spark: TCP/443 üzerinden 154.222.245.165 ** ile iletişim kuran bir uzaktan erişim Truva (sıçan).
Altyapı hedeflemesi, tehlikeli madde taşımacılığı ve tahıl depolama sistemleri konusunda uzmanlaşmış Ukrayna lojistik firmalarını içerir. Saldırganlar, aşağı yönlü saldırıları kolaylaştırmak için mühendislik şemalarını ve ICS kimlik bilgilerini sunarlar.
CERT-UA, kritik altyapı operatörlerini şüpheli kayıt defteri girişlerini denetlemeye, RSYNC trafiğini izlemeye ve aşağıdaki IOC’leri engellemeye çağırıyor:-
- IP adresleri: 91.232.31.178, 185.220.101.104, 45.200.185.5
- Dosya:
1be7c11d50e38668e35760f32aac9f9536260d58685d3b88bcb9a276b3e0277a(Empirepast),bf3b92423ec8109b38cc4b27795624b65665a1f3a6a18dab29613d4415b4aa18(KIVILCIM).
Kuruluşlara ağ segmentasyonuna öncelik vermeleri ve PowerShell için başvuru izin verilmesini zorlamaları tavsiye edilir.
UAC-0212 yanal hareket için tehlikeye atılmış kimlik bilgilerini yeniden kullandığından, CERT-UA tüm yönetim parolalarının döndürülmesini ve anormal LNK dosya etkinliği için uç nokta algılamasının dağıtılmasını önerir.
Ajans, saldırganların hızla yedek kalıcılık mekanizmaları oluşturdukları için sadece “antivirüs taramaları” veya işletim sistemi yeniden yüklemelerinin yetersiz olduğu konusunda uyarıyor.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here