UNC5174 Kimdir? SNOWLIGHT ve VShell Neden Önemlidir? Linux Sistemleri Nasıl Hedef Alıyor? Bu Saldırılar Hangi Tehditleri Barındırıyor?
UNC5174 Kimdir?
UNC5174, Çin ile bağlantılı bir siber tehdit aktörüdür ve geçtiğimiz yıl boyunca Çin hükümetiyle ilişkilendirilmiştir. Bu aktör, yeni nesil malware’ler kullanarak hedef sistemlere saldırılar düzenlemektedir. Mandiant tarafından belgelendiği gibi, Connectwise ScreenConnect ve F5 BIG-IP gibi yazılımlardaki güvenlik açıklarını istismar ederek SNOWLIGHT adlı C tabanlı bir ELF indiricisinden faydalanmaktadır. Bu aktör, Çin hükümeti ile bağlantılı olduğundan, saldırılarında özellikle devlet destekli siber saldırıların özelliklerini de taşımaktadır.
SNOWLIGHT ve VShell Neden Önemlidir?
SNOWLIGHT, bir dropper olarak işlev gören bir malware türüdür. Bu malware, VShell adlı bir uzak erişim trojanını (RAT) yüklemek için kullanılır. VShell, kullanıcılarına komut çalıştırma, dosya indirme ya da yükleme imkanı sunar. Her iki araç da, açık kaynaklı olmaları sayesinde, siber suçlular tarafından kolaylıkla edinilebilir. İşte bu nedenle, SNOWLIGHT ve VShell, saldırganlar için önemli araçlar haline gelmiştir. Sysdig’ın belirttiği gibi, bu araçların stealth ve sofistike teknikleri, organizasyonlara ciddi riskler oluşturabilmektedir.
Linux Sistemleri Nasıl Hedef Alıyor?
Saldırıların hedefi genellikle Linux tabanlı sistemlerdir. UNC5174, SNOWLIGHT kullanarak Linux sistemlerine sızmaktadır. İlk olarak, saldırı için kullanılacak kötü amaçlı bir bash script’i ("download_backd.sh") çalıştırılır. Bu script, SNOWLIGHT ile ilişkili iki ikili dosyayı (dnsloger ve Sliver) dağıtır. Bu dosyalar, hedef sistemde kalıcılığı sağlamak ve bir komut kontrol (C2) sunucusuyla iletişim kurmak için tasarlanmıştır. Böylece saldırgan, hedef sistemde tam kontrol sağlayabilir ve yeni saldırılar gerçekleştirebilir.
Bu Saldırılar Hangi Tehditleri Barındırıyor?
SNOWLIGHT ve VShell, yalnızca Linux sistemlerine değil, aynı zamanda Apple macOS sistemlerine de tehdit oluşturmaktadır. VShell, fake bir Cloudflare doğrulayıcı uygulaması olarak dağıtılabilmektedir. Bu durum, saldırı zincirinin ne kadar karmaşık olabileceğini göstermektedir. Ayrıca, siber tehditleri tanımlayan kurumlar, UNC5174’ün kullandığı tekniklerin, az sayıda siber suçlu tarafından benzer şekilde kullanılabileceğini ve bu da atıf yapmayı daha zor hale getirdiğini belirtmektedir. Özellikle, açık kaynak araçların kullanımı, maliyet etkinliği sağlamakta ve yetenek seviyesi düşük olan aktörlerle etkileşimi kolaylaştırmaktadır.
Tehdit Aktörlerinin Yöntemleri
Tehdit aktörleri, hedeflerinin güvenliğini aşmak için farklı yollar denemektedirler. SNOWLIGHT ve VShell gibi araçların yüksek stealth yetenekleri, saldırıların başarılı olmasını sağlamaktadır. Ayrıca, saldırganlar, WebSockets gibi modern iletişim yöntemlerini kullanarak komut ve kontrolü yönetmektedir. Bu yöntemler, kötü amaçlı yazılımların hedef sistemlere daha derinlemesine sızmasına olanak tanımaktadır.
CVE Güvenlik Açıkları ve Kullanılan Teknikler
Fransa Ulusal Bilgi Sistemleri Güvenlik Ajansı (ANSSI), 2024 için yayınladığı siber tehdit raporunda, UNC5174’un kullandığı tekniklerin, özellikle belirli güvenlik açıklarından nasıl faydalandığını detaylandırmıştır. Örneğin, Ivanti Cloud Servis Cihazı’ndaki CVE-2024-8963 ve CVE-2024-9380 gibi güvenlik açıkları, saldırganların sistem üzerinde kontrol sağladığını göstermektedir. Bu tür açıkları hedef alarak, siber suçlular, sistemleri ele geçirip istedikleri verileri çalmak için daha etkili bir yol sunmaktadır.
Sonuç
UNC5174 ve benzeri siber tehdit aktörleri, maliyet etkin açık kaynak araçlarını kullanarak siber güvenlik alanında ciddi tehditler oluşturmaktadır. SNOWLIGHT ve VShell gibi araçlar, Linux ve diğer sistemlerde büyük riskler yaratmaktadır. Bu durum, organizasyonlar için sürekli bir tehdit oluşturmaktadır. Dolayısıyla, sürekli güncel kalmak ve güvenlik stratejilerini geliştirmek, bu tür saldırılara karşı en etkili savunma yöntemlerinden biridir.
