Gelişme ile ilgili bir gelişmede, Ukrayna’nın bilgisayar acil müdahale ekibi CERT-UA, UAC-0219 olarak tanımlanan bilgisayar korsan grubuna atfedilen bir dizi siber saldırı bildirdi.
2024 sonbaharından bu yana devam eden bu saldırılar, bilgisayarlara sızmak ve hassas verileri çıkarmak için Wrecksteel adlı gelişmiş bir PowerShell tabanlı kötü amaçlı yazılım aracı kullanıyor.
Birincil hedefler arasında devlet kurumları ve Ukrayna’daki kritik altyapı tesisleri bulunmaktadır.
Sofistike Saldırı Metodolojisi
Siber casusluk kampanyası çok aşamalı bir saldırı mekanizması kullanıyor.
Başlangıçta, tehlikeye atılan hesaplar, DropMefiles ve Google Drive gibi genel dosya paylaşım hizmetlerine bağlantılar içeren kimlik avı e-postalarını dağıtmak için kullanılır.
Bu bağlantılar genellikle PDF eklerinde görünür ve kurbanları “.js” dosyaları olarak gizlenmiş VBScript yükleyicileri indirmeye yönlendirir.
Yürütüldükten sonra, bu komut dosyaları, “.doc ”,”.pdf ”,”.xlsx ”ve”.jpeg ”ve bunları curl komutlarını kullanarak yükleyin.
Ayrıca, kötü amaçlı yazılım, veri toplama özelliklerini daha da geliştirmek için enfekte bilgisayarların ekran görüntülerini yakalar.
CERT-UA’nın analizi, bu kötü amaçlı yazılımların önceki sürümlerinin, ekran görüntüsü yakalama için IrfanView grafik düzenleyicisi gibi tuzak belgelerini ve araçları içeren NSIS yükleyicisiyle oluşturulan EXE dosyalarına dayandığını ortaya koymaktadır.
Bununla birlikte, 2025’ten bu yana, ekran görüntüsü işlevselliği PowerShell betiğinin kendisine tam olarak entegre edilmiştir ve saldırganların taktiklerinde bir evrim göstermiştir.
Wrecksteel: Çok yönlü bir veri çalma aracı
Wrecksteel kötü amaçlı yazılım bu işlemlerin merkezinde yer alır ve hem VBScript hem de PowerShell varyantlarında mevcuttur.
Birincil işlevi, tehlikeye atılan sistemlerden sistematik olarak dosyaları çalmaktır.
Kötü amaçlı yazılım tasarımı, yüksek düzeyde bir karmaşıklığı yansıtır ve hedeflenen verileri verimli bir şekilde toplarken algılamadan kaçınmasına izin verir.
CERT-UA, bu etkinliği UAC-0219 tanımlayıcısı altında izledi ve diğer kritik sektörlere yönelik gelecekteki saldırılarda benzer araçların dağıtılabileceği konusunda uyarıyor.
Devam eden siber saldırılar, UAC-0219 ve benzer grupların yarattığı kalıcı tehdidi vurgulamaktadır.
CERT-UA, hassas bilgileri ele alan kuruluşlar arasında uyanıklığın önemini vurgulamaktadır.
Bu saldırılarla ilişkili kötü amaçlı komut dosyaları ve ağ adresleri dahil olmak üzere uzlaşma göstergeleri (IOC’ler), tespit çabalarına yardımcı olmak için kamuya açıktır.
Kuruluşlar, hızlı yanıt ve hafifletme önlemleri için derhal CERT-UA’ya uzlaşma belirtileri bildirmeleri istenir.
Ukrayna, kritik altyapısını hedefleyen siber tehditlerle karşılaşmaya devam ettikçe, CERT-UA olayları analiz etmeye ve ortaya çıkan riskler hakkında zamanında güncellemeler sağlamaya kararlıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!