UNC1549 olarak bilinen İran destekli sofistike bir tehdit grubu, 2024’ün ortalarından bu yana dünya çapında havacılık, havacılık ve savunma kuruluşlarına karşı hedefli kampanyalar yürütüyor.
Bilgisayar korsanları, dikkatlice hazırlanmış kimlik avı kampanyalarını birincil hedefler ile üçüncü taraf tedarikçileri arasındaki güvenilir bağlantılardan yararlanarak birleştiren gelişmiş bir ikili yaklaşım kullanıyor.
Bu stratejinin, tedarikçilerini genellikle ilk uzlaşmalarda daha yumuşak hedefler olarak bırakan savunma yüklenicileri gibi iyi savunulan kuruluşlara karşı özellikle etkili olduğu kanıtlanmıştır.
Tehdit grubunun operasyonel yöntemleri önemli bir evrim ve taktiksel gelişmişlik göstermektedir. 2023’ün sonundan 2025’e kadar faaliyet gösteren UNC1549, ilk dayanağı oluşturmak için yüksek düzeyde hedeflenmiş, rolle ilgili kimlik avı e-postalarından yararlanıyor.
Bir ağa girdikten sonra, güvenlik proxy’lerini atlayan benzer etki alanlarını kullanarak hedef odaklı kimlik avı kampanyaları oluşturmak için kurban kaynak kodunu çalmak da dahil olmak üzere yaratıcı yanal hareket tekniklerini kullanırlar.
Grup aynı zamanda şüphelenmeyen çalışanlardan kimlik bilgilerini toplamak için dahili hizmet biletleme sistemlerini de kötüye kullanıyor.
Google Cloud güvenlik analistleri, UNC1549’un özellikle tespitten kaçınmak ve adli araştırmaları karmaşık hale getirmek için tasarlanmış özel araçlar dağıttığını tespit etti.
Özellikle, aynı arka kapı varyantının birden fazla örneği tek bir kurban ağında göründüğünde bile, soruşturmalar sırasında tespit edilen her istismar sonrası veri, benzersiz bir hash taşıyordu.
Bu düzeydeki özelleştirme, grubun önemli kaynaklarının ve operasyonel güvenliğe olan bağlılığının altını çiziyor.
UNC1549’un operasyonlarının teknik açıdan en önemli yönlerinden biri, kötü amaçlı yazılımların kalıcılığı için arama emri ele geçirme yöntemini kullanmalarıdır.
Bu teknik, kötü amaçlı DLL’lerin meşru yazılım yükleme dizinlerine yerleştirilmesini içerir ve böylece saldırganların, yöneticiler veya kullanıcılar meşru yazılımı çalıştırdığında kalıcı yürütme gerçekleştirmesine olanak tanır.
.webp)
Grup, FortiGate, VMWare, Citrix, Microsoft ve NVIDIA yürütülebilir dosyaları da dahil olmak üzere yaygın olarak kullanılan kurumsal çözümlerde bu güvenlik açığından başarıyla yararlandı.
İlk erişim
Bu durumlarda araştırmacılar, UNC1549’un, özellikle DLL arama sırasını ele geçirme özelliğini kötüye kullanmak amacıyla, ilk erişimi sağladıktan sonra kasıtlı olarak meşru yazılım yüklediğini tespit etti.
TWOSTROKE arka kapısı bu teknik gelişmişliği örneklendirmektedir. Bu özel C++ arka kapısı, 443 numaralı bağlantı noktasındaki SSL şifreli TCP bağlantıları aracılığıyla iletişim kurar ve meşru trafikten ayırt edilmesini zorlaştırır.
Yürütmenin ardından TWOSTROKE, GetComputerNameExW(ComputerNameDnsFullyQualified) Windows API işlevini kullanarak tam nitelikli DNS bilgisayar adını alarak benzersiz bir kurban tanımlayıcısı oluşturur.
Bu ad, statik bir anahtar kullanılarak XOR şifrelemesine tabi tutulur, küçük harf onaltılı sayıya dönüştürülür ve bot kimliğini oluşturmak için bunları tersine çevirmeden önce ilk sekiz karakteri çıkarır.
TWOSTROKE’un komut seti, sistem bilgisi toplama, dinamik DLL yükleme, dosya işleme ve kalıcı arka kapı işlevselliği dahil olmak üzere kapsamlı uzlaşma sonrası yeteneklere olanak tanır.
Kötü amaçlı yazılım, “@##@” sınırlayıcılarla ayrılmış birden fazla komut içeren komut sunucularından onaltılık kodlanmış yükleri alır. Komutlar, dosya yükleme ve kabuk komutunun yürütülmesinden dizin listeleme ve dosya silme işlemlerine kadar uzanır.
UNC1549’un kampanyası uzun vadeli kalıcılığa öncelik veriyor ve araştırmacının tepkisini öngörüyor. Aylarca hareketsiz kalan arka kapıları stratejik olarak yerleştiriyorlar ve yalnızca kurbanlar iyileştirme girişiminde bulunduktan sonra etkinleşiyorlar.
Bu yaklaşım, kapsamlı ters SSH kabuğu kullanımı ve kurban endüstrileri taklit eden alan adlarıyla birleştiğinde, savunucular için zorlu bir operasyonel ortam yaratıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
