Seqrite Labs’taki siber güvenlik araştırmacıları, Mayıs 2024’ten beri birden fazla Asya yargı bölgesinde kalıcı kampanyalar yapan UNG0002 (bilinmeyen grup 0002) olarak adlandırılan sofistike bir casusluk grubu belirlediler.
Tehdit aktörleri, sosyal mühendislik tekniklerini gelişmiş kötü amaçlı yazılım dağıtım yöntemleriyle entegre ederek, özellikle Çin, Hong Kong ve Pakistan’daki organizasyonları dikkatle düzenlenmiş operasyonlar yoluyla hedefleyen dikkate değer bir uyum gösterdiler.
Çok Kampanya Casusluk Operasyonları
UNG0002, iki ana kampanya kümesini düzenledi: Mayıs’tan Eylül 2024’e kadar süren Cobalt Whisper Operasyonu ve Ocak -Mayıs 2025’e kadar olan daha yeni Operasyon Ambermist.
Kobalt Operasyonu sırasında araştırmacılar, öncelikle savunma yüklenicilerini, elektroteknik mühendislik firmalarını ve sivil havacılık organizasyonlarını hedefleyen 20 ayrı enfeksiyon zinciri gözlemlediler.
Grup başlangıçta büyük ölçüde kobalt grev ve Metasploit dahil olmak üzere yerleşik çerçevelere güveniyordu.
Evrim, UNG0002’nin hedef kapsamlarını oyun şirketlerini, yazılım geliştirme firmalarını ve akademik kurumları içerecek şekilde genişlettiği Ambermist Operasyonu ile belirginleşti.
Bu kampanya, Shadow Rat, Blister DLL implantı ve Inet Rat dahil olmak üzere özel olarak geliştirilen implantların konuşlandırılması yoluyla önemli teknik ilerleme gösterdi.
Tehdit aktörleri, CV temalı tuzak belgelerini kullanımlarında özel bir karmaşıklık gösterdiler ve oyun kullanıcı arayüzü tasarımcıları için sahte kimlik bilgileri ve prestijli kurumlardan potansiyel kurbanlar ile güvenilirlik sağlamak için bilgisayar bilimi öğrencileri de dahil olmak üzere gerçekçi özgeçmiş profilleri oluşturdular.
ClickFix Tekniği
Belki de UNG0002’nin taktiklerindeki en çok ilgili gelişme, kurbanları kötü niyetli güç komut dosyaları yürütmek için manipüle etmek için sahte captcha doğrulama sayfalarından yararlanan ClickFix sosyal mühendislik tekniğini benimsemeleridir.
Grup, geleneksel güvenlik farkındalığı eğitimini atlayan ikna edici kimlik doğrulama senaryoları oluşturmak için Pakistan Deniz İşleri Bakanlığı da dahil olmak üzere resmi hükümet web sitelerini sahte olarak gösterdi.
Enfeksiyon metodolojisi tipik olarak hedeflenen kimlik avı kampanyaları aracılığıyla dağıtılan kötü niyetli LNK kısayol dosyalarıyla başlar.
Bu kısayollar, ödün verilen sistemlerde kalıcılığı korurken özel sıçan implantlarını dağıtmak için tasarlanmış VBScript, toplu komut dosyaları ve PowerShell bileşenlerini içeren karmaşık çok aşamalı saldırı zincirlerini başlatır.
Grup, DLL kenar yükleme teknikleri için, özellikle uç nokta algılama sistemlerinden kaçarken kötü amaçlı yükler yürütmek için Rasphone ve düğüm-webkit ikili dosyaları gibi meşru pencereler uygulamalarından yararlanmak için tutarlı bir tercih göstermiştir.
Soruşturma sırasında geri kazanılan teknik eserler, grubun operasyonel güvenlik uygulamalarına ilişkin ilginç bilgiler ortaya koymaktadır.
Özel kötü amaçlı yazılımlarında keşfedilen PDB yolları, “Freelancer” ve “Shockwave” gibi kullanıcı adlarıyla geliştirme ortamlarını gösterir, bu da olası kod adlarını veya mevcut tehdit gruplarına referanslar önerir.
Rapora göre, bu örüntü Seqrite Labs’ın UNG0002’nin, ilişkilendirme çabalarını ve yanlış yönlendirme güvenlik araştırmacılarını karmaşıklaştırmak için yerleşik tehdit oyuncusu oyun kitaplarından kasıtlı olarak taklit eden değerlendirmesiyle uyumludur.
Hedefleme kalıpları, altyapı kullanımı ve operasyonel zamanlamanın kapsamlı analizine dayanarak, araştırmacılar UNG0002’nin güneydoğu Asya’dan kaynaklandığına dair yüksek güvenle değerlendiriyor ve devlet destekli veya devlet uyumlu casusluk operasyonlarına özgü istihbarat toplama faaliyetlerine stratejik bir odaklanma sürdürüyorlar.
Grubun kalıcı altyapı yönetimi ve birden fazla kampanyadaki tutarlı adlandırma sözleşmeleri, sürekli organizasyonel destek öneren sofistike operasyonel planlama ve kaynak tahsisi yeteneklerini göstermektedir.
Uzlaşma göstergeleri
| Dosya Türü | Hash (SHA-256) | Kötü amaçlı yazılım türü | Notalar |
|---|---|---|---|
| Lnk | 4CA4F673E4389A352854F5FEEB0793DAC43519ade804B5DD9356D0CBE0F06148 | Kısayol | İlk enfeksiyon vektörü |
| VBS | AD97B1C79735B1B97C4C4432CACACAC2FCE631689AFB41A0D97F2B0E565EE850 | VBScript | Aşama 2 yük |
| Pe | C3CCFE415C3D3B89BDE029669F42B7F04DF72DA4BD15D82495B58BDE46D6 | Blister dll | Ambermist İmplant Operasyonu |
| Pe | 2bdd086a5fce1f32eaa41be86febbb4be7782c997cfcb02d2f58fee5dd4b0f8a | Far | Gelişmiş Kalıcılık Aracı |
| Pe | 90C9E0E1D74B596A0ACF1E04B41C2C5F15D16B2ACD39D3DC8F90B071888AC99 | Gölge faresi | Özel casusluk implantı |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now