Siber güvenlik araştırmacıları, kripto para sektöründeki varlıkları hedef alan, UTG-Q-010 grubuna atfedilen karmaşık bir kampanyayı ortaya çıkardı. Gelişmiş taktikler ve araçların kullanımıyla öne çıkan bu kampanya, özellikle açık kaynaklı Pupy RAT ve yeni güncellenen bir DLL yükleyicisini içeriyor.
Cyble Research and Intelligence Labs (CRIL) bugün Doğu Asya’dan kaynaklanan finansal olarak yönlendirilen bir Gelişmiş Kalıcı Tehdit (APT) aktörü olan UTG-Q-010 grubu hakkında derinlemesine bir rapor yayınladı. Bu grup, belirli endüstrilere yönelik metodik ve stratejik operasyonlarıyla bilinir. Mayıs 2024’te ortaya çıkan son kampanya, UTG-Q-010’un uyarlanabilirliğini vurguluyor.
UTG-Q-010 Kampanyası ve Pupy RAT’a Genel Bakış
UTG-Q-010 kampanyası, öncelikle kripto para meraklılarını ve insan kaynakları (İK) departmanlarını hedef alıyor ve bu grupların zaaflarından yararlanmak için stratejik bir yaklaşımı yansıtıyor. Tehdit aktörleri, bu sektörlere odaklanarak hedeflerinin çıkarları ve potansiyel yüksek değerli getirileri konusunda gelişmiş bir anlayış sergilediler.
Mızraklı kimlik avı, tehdit aktörlerinin kripto para birimi etkinlikleri veya iş özgeçmişleriyle ilgili görünen e-postalar kullanmasıyla ilk saldırı vektörü olarak ortaya çıktı. Kötü amaçlı içeriği cazip yemlere yerleştirme stratejisi, kimlik avı girişimlerinin başarı oranını artırmayı amaçlayan yüksek düzeyde planlama ve karmaşıklığa işaret ediyor.
Kampanyanın önemli bir bileşeni, yürütüldüğünde bir dizi kötü amaçlı eylemi tetikleyen bir Windows kısayolu (LNK) dosyasının kullanımını içerir. LNK dosyası, geleneksel güvenlik önlemlerini atlatmak için tasarlanmış güncellenmiş bir sürüm olan bir DLL yükleyicisini istismar etmek için tasarlanmıştır.
Teknik Uygulama: DLL Yükleyici ve Pupy RAT
Kampanyanın bazı teknik detayları şöyle:
Kötü Amaçlı LNK Dosyası ve DLL Yükleyici: Kampanya, PDF olarak gizlenmiş kötü amaçlı bir LNK dosyası içeren “MichelinNight.zip” adlı bir ZIP dosyası kullandı. Bu LNK dosyası, sonunda bir yükleyici DLL’nin indirilmesine ve yürütülmesine yol açan birkaç komutu yürütmek üzere tasarlanmıştı. “faultrep.dll” adlı yükleyici, sanal ortamlar ve sanal makineler için kontroller de dahil olmak üzere gelişmiş kaçınma teknikleriyle dikkat çekiyor.
Yükleyici DLL’nin Kaçınma Teknikleri: Yükleyici DLL, bir sandbox’ta mı yoksa sanal ortamda mı çalıştığını algılamak üzere programlanmıştır. Bunu, ortak sandbox ile ilgili kullanıcı adlarını, sanal ortamlarla ilişkili MAC adresi öneklerini ve belirli sanallaştırma ile ilgili eserleri kontrol ederek yapar. Ek olarak, yükleyici son yükü indirmeden önce etkin bir internet bağlantısının varlığını doğrular.
Bellekte Yürütme ve Yansıtıcı DLL Yükleme: Yükleyici DLL işletim ortamını doğruladıktan sonra, son yükü (Pupy RAT DLL dosyası) indirir ve şifresini çözer. Bu yük, algılama olasılığını önemli ölçüde azaltan ve kötü amaçlı yazılımın ana bilgisayar sistemindeki ayak izini en aza indiren bir teknik olan yansıtıcı DLL yüklemesi kullanılarak bellekte yürütülür.
Yavru FARE: Kampanyanın Özü
Güçlü ve çok yönlü bir uzaktan erişim aracı olan Pupy RAT, UTG-Q-010 kampanyasında önemli bir rol oynar. Python’da geliştirilen bu araç, geleneksel güvenlik sistemleri tarafından tespit edilmesini önlemeye yardımcı olan bellek içi yürütme modeli aracılığıyla gizlice çalışır. Pupy RAT, platformlar arası uyumluluğu, diskte iz bırakmayan bellek içi yürütme ve meşru süreçler içinde yürütülerek gizliliğini artıran yansıtıcı işlem enjeksiyonuyla dikkat çeker.
Ek olarak, disk yazmaları gerektirmeden doğrudan bellekten uzak kodu yükleyip çalıştırarak dinamik yetenek genişlemesini destekler. Tarihsel olarak, UTG-Q-010 grubu ilaç ve oyun gibi sektörleri hedef alan karmaşık kimlik avı kampanyalarına katılmıştır. Pupy RAT gibi gelişmiş araçlardan yararlanarak kripto para birimine son zamanlardaki odaklanmaları, yeni yüksek değerli hedefleri istismar etmek için adapte olurken taktiklerinde bir evrimi ifade eder.
Savunma Önerileri
UTG-Q-010 gibi karmaşık kampanyalara karşı savunma yapmak için kuruluşların bazı temel önlemleri uygulaması gerekir. Bunlar şunları içerir:
- Spear phishing ve kötü amaçlı ekleri, özellikle LNK dosyalarını tespit etmek için gelişmiş e-posta filtrelemesi;
- Özellikle kripto para ve İK departmanlarındaki çalışanlara, kimlik avı girişimlerini tanıma ve önleme konusunda eğitim verilmesi;
- Yetkisiz DLL yan yüklemesi ve bellek içi yürütme gibi anormal davranışları belirlemek için Uç Nokta Algılama ve Yanıt (EDR) çözümlerini dağıtma.
Ayrıca, sandbox kaçışını ve yansıtıcı DLL yüklemesini tespit etmek için kurallar belirlemek, yetkisiz erişimi sınırlamak için yönetici ayrıcalıklarını yönetmek, potansiyel ihlalleri sınırlamak için ağı segmentlere ayırmak ve tehdit istihbaratıyla güncel kalmak önemli adımlardır.