Seqrite Labs Apt-Team, Çin, Hong Kong ve Pakistan da dahil olmak üzere Asya yargı bölgelerinde casusluk güdümlü operasyonları düzenleyen UNG0002’yi (bilinmeyen grup 0002) ortaya çıkardı.
En azından Mayıs 2024’ten bu yana aktif olan bu Güneydoğu Asya merkezli küme, savunma, sivil havacılık, elektroteknik mühendisliği, oyun, yazılım geliştirme ve akademik gibi kritik sektörleri hedefleyen yüksek derecede uyarlanabilirlik ve teknik ustalık göstermiştir.
Gelişmiş casusluk kampanyaları
UNG0002’nin iki büyük kampanya altında izlenen operasyonları Cobalt Whisper (Mayıs 2024-Eylül 2024) ve Ambermist Operasyonu (Ocak 2025-Mayıs 2025), sofistike çok aşamalı saldırılarla istihbarat toplantısına stratejik bir odaklanma ortaya koyuyor.
Kobalt Strike ve Metasploit gibi silahlandırılmış kısayol dosyaları (LNK), VBScript ve sömürü sonrası araçların tutarlı kullanımı, kaçamaklı ve etkili izinsiz giriş teknikleri tercihlerinin altını çiziyor.
Kobalt Operasyonu sırasında, UNG0002, öncelikle savunma ve havacılık sektörlerini hedefleyen 20 ayrı enfeksiyon zinciri yürüttü ve kurbanları kötü niyetli yükler yürütmeye teşvik etmek için tasarlanmış CV temalı tuzak belgeleri.
Daha yakın tarihli Operasyon Ambermist, ClickFix tekniği gibi yenilikçi sosyal mühendislik taktiklerinin yanı sıra Shadow Rat, Inet Rat ve Blister DLL gibi hafif özel implantları içeren yaklaşımlarında bir evrim gösterir.
Bu yöntem, kullanıcıları Pakistan’ın Deniz İşleri Bakanlığı web sitesi gibi meşru varlıkları taklit etme örnekleriyle sahte captcha doğrulama sayfaları aracılığıyla kötü niyetli PowerShell komut dosyaları çalıştırmaya kandırıyor.
Özel implantlarla gelişen taktikler
Ayrıca, grup, algılamadan kaçınırken kötü amaçlı kod yürütmek için rasphone ve düğüm-webkit ikili dosyaları gibi güvenilir Windows uygulamalarını kötüye kullanarak DLL kenar yükünü kullanır.
Oyun kullanıcı arayüzü tasarımcılarının özgeçmişlerini veya bilinen kurumlardan bilgisayar bilimi öğrencilerinin özgeçmişlerini taklit eden gerçekçi tuzak belgelerini kullanmaları, belirli endüstrilere özel yaklaşımlarını vurgulamaktadır.
Grubun altyapısı ayrıca, diğer tehdit eylemcilerinin potansiyel kodlamalarını ve müstehcenliklerini taklit eden gölge sıçanları için gölge sıçan için “C: \ Kullanıcılar \ Freelancer \ Repos \ Repos \ Jan25 \ Mustang \ X64 \ Release \ Mustang.pdb” gibi tutarlı adlandırma kuralları ve operasyonel güvenliği de ortaya koymaktadır.
Seqrite laboratuvarları, UNG0002’nin casusluk üzerine odaklanmasına, diğer tehdit gruplarından teknikleri benimsemede uyarlanabilirlikleriyle birleştiğine, kökenlerini güneydoğu Asya tabanının ötesine saptama çabalarını karmaşıklaştırdığına dair yüksek güvenle değerlendirir.
Kobalt grevine ve metasploit’e güvenmekten özel sıçanların geliştirilmesine geçişleri, araç setlerini geliştirmek için kalıcı bir niyetle iyi kaynaklanan bir operasyonu gösterir.
Tehdit manzarası geliştikçe, Seqrite bu kümeyi izlemeye devam ederek MalwareHunterTeam de dahil olmak üzere daha geniş araştırma topluluğunun bu kampanyaların izlenmesine katkılarını kabul ediyor.
Enfeksiyon zincirlerinin ve kampanya özelliklerinin ayrıntılı teknik analizleri Seqrite’ın kapsamlı teknik incelemesinde mevcuttur.
Uzlaşma Göstergeleri (IOCS)
| Dosya Türü | Hash (SHA-256) | Notalar |
|---|---|---|
| LNK (kısayol) | 4CA4F673E4389A352854F5FEEB0793DAC43519ade804B5DD9356D0CBE0F06148 | İlk enfeksiyon zincirlerinde kullanılır |
| VBS (VBScript) | AD97B1C79735B1B97C4C4432CACACAC2FCE631689AFB41A0D97F2B0E565EE850 | Yük yürütme için dağıtıldı |
| Toplu beter (.bat) | A31D742D7E36FED01971D8CBA827C71E69D59167E080D2F5510C85FDAA5 | Çok aşamalı saldırıları kolaylaştırır |
| Blister dll implant | C3CCFE415C3D3B89BDE029669F42B7F04DF72DA4BD15D82495B58BDE46D6 | Ambermist’te Düğüm Webkit aracılığıyla yan yüklendi |
| Gölge faresi | 90C9E0E1D74B596A0ACF1E04B41C2C5F15D16B2ACD39D3DC8F90B071888AC99 | Tuzak yükleyici ile rasphone aracılığıyla dağıtıldı |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now