UTG-Q-015 Hackerlar, hükümet web sunucularına büyük kaba kuvvet saldırıları başlattı

İlk olarak Aralık 2024’te CSDN gibi büyük web sitelerine yapılan saldırılar için belirlenen Hacker grubu UTG-Q-015, kötü niyetli faaliyetlerini artırdı, hükümeti ve işletme web sunucularını eşi görülmemiş saldırganlık ile hedef aldı.

Başlangıçta web sitesi manipülasyonu taktikleri için açıklanan grup, o zamandan beri 0 gün ve nday güvenlik açıklarını kullanmaya yöneldi ve Mart 2025 gibi erken bir brute-kuvvet tarama ve patlatma kampanyaları başlattı.

Hükümet web sunucularına karşı kaba kuvvet saldırıları

Penetrasyon ve istihbarat hizmetleri sağladığı bilinen bu Güneydoğu Asya merkezli tehdit oyuncusu, maruz kalma sonrası taktikleri değiştirerek, blockchain platformları, finansal kurumlar ve AI araştırma sunucuları gibi yüksek değerli hedeflere odaklanarak uyarlanabilirlik göstermiştir.

– Reklamcılık –

UTG-Q-015’in operasyonları, Mart 2025’te, halka açık hükümet ve kurumsal web sunucularına kaba kuvvet saldırıları yürütmek için bir tarama düğümü ağı kurduklarında tehditkar bir dönüş yaptı.

Sistemleri başarıyla tehlikeye attıktan sonra, grup, hasat edilen kimlik bilgilerine sahip yanal hareket için FSCAN gibi araçları kullanarak, kalıcılık için Cobalt Strike Backroors ve manipüle edilmiş NPS tünellerini kullandı.

Sofistike istismarlara kaba kuvvet

Nisan ayına kadar Arsenal, büyüyen teknik sofistikelerini sergileyen CVE-2021-38647, CVE-2017-12611 ve CVE-2017-9805 gibi Nday istismarlarını içerecek şekilde genişledi.

Nisan kampanyalarında ayrıca çok sayıda hükümet ve işletme müşterisini etkileyen blockchain ile ilgili web sitelerine, dijital imza arka uçlarına, Bitcoin sistemlerine ve GITLAB arayüzlerine karşı hedefli bir “su birikintisi montajı” işlemi gördü.

Mağdurlar, Hxxps: //updategoogls.cc/tools.exe gibi alanlardan kötü niyetli yükler indirmeye çekildi, genellikle tehlikeye atılan Web3 ve blockchain proje sitelerinde aldatıcı JavaScript koduyla gömülü kimlik avı sayfaları aracılığıyla.

Bu sektörlerin ötesinde, UTG-Q-015, çok aşamalı bir saldırı zinciri kullanılarak finansal kurumlara sızmıştır.

Sınır sunucularını tehlikeye atmak için bilinmeyen web güvenlik açıklarıyla başlayarak, iç personele “gizli xxxx.exe” gibi yem dosyalarını sunmak için IM kimlik avı kullandılar ve sonuçta intranet bağlantılı C2 sunucuları aracılığıyla üçüncü aşamalı bir yük getirdiler.

Onların erişimleri, CVE-2023-48022 gibi güvenlik açıklarından ve Comfyui-Manager eklentilerindeki yetkisiz kusurları VShell gibi geri yüklere yüklemek için casusluk için AI araştırma sunucularını yüklemek için Linux tabanlı AI platformlarına da uzanır.

Rapora göre, 2025’teki AI altyapısına, özellikle açık deniz APT işbirlikleri yoluyla, operasyonlarının arkasındaki stratejik niyetin altını çizerek, kritik sektörler için ciddi bir risk oluşturuyor.

Genellikle uluslararası ortaklar tarafından “CN-Nexus” olarak genelleştirilen Çince konuşan saldırganların anlatısı, Doğu ve Güneydoğu Asya’yı kapsayan karmaşık bir ekosistemi aşırı basitleştiriyor.

UTG-Q-015, profesyonel bir kıyafet olsa da, ideolojik ve siyasi çatışmaların gergin bir manzarasında çalışır ve genellikle Eviloong Operasyonu ve Operasyon Giant gibi bölgesel dış kaynak gruplarıyla çatışır.

2024’te yerli programlama forumlarına yapılan misilleme saldırıları, “dış kaynak savaşları” olarak maskelenmiş daha derin rekabetleri yansıtıyor.

Bu tür tehditlere karşı koymak için, bulut tabanlı tehdit algılama ve Asrock’un UTG-Q-015 silahlarını etkisiz hale getirme yeteneği hükümet ve işletme müşterileri için şiddetle tavsiye edilir.

Ek olarak, Skyrock, Skyeye ve NGSOC dahil olmak üzere Qi’anxin’den platformlar, bu sofistike saldırılara karşı sağlam bir algılama sağlar.

IOC tablosu

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!