UAT-7290 olarak bilinen tehlikeli bir bilgisayar korsanlığı grubu, en az 2022’den bu yana Güney Asya’daki önemli telekomünikasyon şirketlerine ve kritik altyapı hedeflerine aktif olarak saldırıyor.
Bu gelişmiş tehdit aktörü, Çin hükümetiyle bağlantılarının olduğuna dair açık işaretlerle faaliyet gösteriyor ve bölgedeki hayati iletişim ağları için ciddi bir risk oluşturuyor.
Grubun yakın zamanda Güneydoğu Avrupa’ya doğru genişlemesi, onların büyüyen erişimini ve tutkusunu gösteriyor.
Cisco Talos analistleri ve araştırmacıları, UAT-7290’ın hedeflenen sistemlere sızmak için hesaplanmış bir yaklaşım kullandığını tespit etti. Grup, saldırıları başlatmadan önce hedeflerini anlamak için dikkatli planlama ve teknik keşifle başlıyor.
.webp)
Bilinen güvenlik zayıflıklarından yararlanmak ve internete bakan sistemlere kaba kuvvet saldırıları kullanmak da dahil olmak üzere farklı saldırı yöntemlerinin bir karışımını kullanıyorlar.
Grup aynı zamanda ilk erişim sağlayıcısı olarak da görev yapıyor; bu da diğer bilgisayar korsanlığı gruplarının daha sonra kendi operasyonları için kullanabilecekleri sistemleri tehlikeye attıkları anlamına geliyor.
UAT-7290’ın araç seti, birçok uç ağ cihazına güç sağlayan, Linux sistemlerinde çalışmak üzere tasarlanmış gelişmiş kötü amaçlı yazılımlar içerir.
Cisco Talos tarafından takip edilen kötü amaçlı yazılım aileleri arasında, bulaşma sürecini başlatan bir damlalık olan RushDrop; Ana kötü amaçlı yazılımın yürütülmesine yardımcı olan DriveSwitch; ve sürekli erişimi sürdüren merkezi program SilentRaid.
Bu araçlar, grubun teknik gelişmişliğini ve tehlikeye atılmış ağlar üzerinde derin kontrol kazanmaya odaklandıklarını gösteriyor.
Enfeksiyon süreci
Enfeksiyon süreci grubun teknik uzmanlığını ortaya koyuyor. RushDrop bir sistem üzerinde çalıştığında, tespit edilmekten kaçınmak için öncelikle sistemin gerçek bir bilgisayarda mı yoksa bir test ortamında mı çalıştığını kontrol eder.
Kontroller başarılı olursa RushDrop, “.pkgdb” adında gizli bir klasör oluşturur ve üç bileşeni bu konuma açar.
.webp)
Süreç, SilentRaid implantı olan “chargen”ın ve sistem üzerinde komutları çalıştırabilen meşru bir Linux aracı olan “busybox”ın çıkarılmasını içeriyor.
Bu adım adım yaklaşım, saldırganların araçlarını nasıl gizlediklerini ve anında şüphe yaratmadan kontrolü nasıl sürdürdüklerini gösteriyor.
SilentRaid, saldırganlara birden fazla yetenek sağlayan modüler bir eklenti sistemi kullanarak çalışır. Kötü amaçlı yazılım, uzak kabukları açabilir, internet bağlantı noktalarını iletebilir ve virüslü sistemlerdeki dosyaları yönetebilir.
SilentRaid başladığında, sunucunun adresini bulmak için bir alan adı ve Google’ın genel DNS hizmetini (8.8.8.8) kullanarak kontrol sunucusuyla iletişim kurar.
Bu iletişim yöntemi, kötü amaçlı yazılımın normal görünen internet trafiğindeki faaliyetlerini gizlemesine yardımcı olarak ağ savunucuları için tespit edilmesini zorlaştırır.
Eklenti sistemi, saldırganların derleme sırasında farklı araçları karıştırıp eşleştirmesine olanak tanıyarak saldırılarını her hedefe göre özelleştirme esnekliği sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
