Çin, Hong Kong ve Pakistan’daki yüksek değerli hedeflere sızmak için silahlandırılmış kısayol dosyaları ve aldatıcı sosyal mühendislik tekniklerini kullanarak birden fazla Asya yargı yetkisini hedefleyen sofistike bir casusluk kampanyası ortaya çıktı.
UNG0002 (bilinmeyen grup 0002) olarak adlandırılan tehdit oyuncusu, Mayıs 2024’ten günümüze kadar uzanan iki ana operasyonel aşamada dikkate değer bir kalıcılık ve teknik evrim göstermiştir.
Kötü niyetli kampanya, CV temalı tuzak belgeleri içine gömülü, VBScript yürütme, toplu işleme ve PowerShell tabanlı yük dağıtımıyla sonuçlanan silahlandırılmış LNK dosyalarıyla başlayan çok aşamalı bir enfeksiyon zinciri kullanır.
Bu sofistike yaklaşım, tehdit aktörlerinin enfeksiyon süreci boyunca düşük bir algılama profilini korurken geleneksel güvenlik önlemlerini atlamalarına izin verir.
Seqrite analistleri, UNG0002’nin Ocak 2025’ten Mayıs 2025’e kadar süren en son kampanyaları olan Ambermist Operasyonu sırasında taktiklerini önemli ölçüde geliştirdiğini belirledi.
Tehdit grubu, daha geniş bir istihbarat toplama görevini gösteren oyun şirketlerini, yazılım geliştirme firmalarını ve akademik kurumları kapsayacak şekilde geleneksel savunma ve sivil havacılık sektörlerinin ötesinde hedeflemelerini genişletti.
.webp)
Kampanyanın en dikkat çekici yeniliği, kurbanlara kötü niyetli PowerShell senaryoları yürütmek için tasarlanmış sahte captcha doğrulama sayfaları sunan bir sosyal mühendislik yöntemi olan ClickFix tekniğinin kötüye kullanılmasını içeriyor.
Güvenlik araştırmacıları, tehdit aktörlerinin aldatıcı sayfalarının meşruiyetini artırmak için Pakistan Deniz İşleri Bakanlığı web sitesini özel olarak taklit ettikleri durumları gözlemlediler.
Gelişmiş enfeksiyon mekanizması ve kalıcılık taktikleri
Enfeksiyon mekanizması, sistem uzlaşmasına yönelik çok katmanlı yaklaşımı ile dikkate değer bir gelişmişlik göstermektedir.
Saldırı, mağdurların meşru PDF belgeleri olarak gizlenmiş kötü niyetli LNK dosyaları içeren CV temalı zip arşivleri aldıklarında başlar. Yürütme üzerine, bu kısayol dosyaları VBScript yorumlama, toplu komut dosyası işleme ve PowerShell yürütme içeren karmaşık bir zincir başlatır.
.webp)
Teknik analiz, UNG0002’nin özellikle Rasphone.exe ve Node-Webkit ikili dosyaları gibi meşru Windows uygulamalarını hedefleyen DLL kenar yükleme teknikleri kullandığını ortaya koymaktadır.
Kötü amaçlı yazılım, algılama mekanizmalarından kaçarken kötü amaçlı yükler yürütmek için bu güvenilir süreçleri kullanır.
Analiz sırasında keşfedilen program veritabanı (PDB) yolları, dahili kod adlarını “Mustang” ve “şok dalgası” gösterir, C: \ kullanıcılar \ freelancer \ serbest \ repos \ jan25 \ Mustang \ x64 \ repos \ jan25 \ Mustang \ x64 \ release \ mem.pdb \ memcom \ x64 \ release \ repos \ memcom \ x64 \ source \ repos \ memcom \ x64 \ source \ repos \ memcom sırasıyla.
Kalıcı altyapı, Shadow Rat, Inet Rat ve blister DLL yükleyicileri gibi özel implantları dağıtarak tutarlı komut ve kontrol işlemlerini korur.
Bu araçlar, bölgesel siber güvenlik için müthiş bir tehdit olarak UNG0002’yi kurarak, tehlikeye atılan ağlarda veri açığa çıkma, uzaktan komut yürütme ve yanal hareket yeteneklerini sağlayan kapsamlı sistem erişimi sağlar.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.