Giriş
Yeni keşfedilen bir tehdit grubu olan UAT-10362, Tayvan’daki sivil toplum kuruluşlarına ve üniversitelere yönelik hedefli oltalama saldırılarıyla ilişkilendirilmektedir. Bu saldırılar, yeni bir Lua tabanlı kötü amaçlı yazılım olan LucidRook’un dağıtımını içermekte olup, siber güvenlik açısından önemli bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
LucidRook, bir Lua yorumlayıcısı ve Rust ile derlenmiş kütüphaneleri içeren dinamik bağlantılı bir kütüphane (DLL) olarak çalışır ve sahte Lua bayt kodu yüklemelerini indirmek ve çalıştırmak için görev yapmaktadır. Cisco Talos’un araştırmaları, bu kötü amaçlı yazılımın dağıtımında RAR veya 7-Zip arşivlerinin kullanıldığını ve saldırının 2025 Ekim ayında keşfedildiğini ortaya koymuştur.
Aşağıda, LucidRook’a götüren iki farklı enfeksiyon zinciri bulunmaktadır:
- LNK tabanlı enfeksiyon zinciri – Kullanıcı bir LNK dosyasına, PDF belgesi olduğunu düşünerek tıkladığında, arşivde bulunan meşru bir Windows ikilisini (“index.exe”) çalıştırmak için PowerShell betiği yürütülür. Bu işlem sonrasında kötü amaçlı bir DLL (yani, LucidPawn) yüklenir ve buradan LucidRook çalıştırılır.
- EXE tabanlı enfeksiyon zinciri – 7-Zip arşivinde bulunan ve Trend Micro’dan geldiği iddia edilen program (“Cleanup.exe”) başlatıldığında, bu .NET tabanlı bir yükleyici olarak çalışır ve LucidRook’u yüklemek için DLL yan yükleme yöntemini kullanır. Çalıştırıldığında, ikili bir mesaj gösterir ve temizleme işleminin tamamlandığını belirtir.
Etkilenen Sistemler
LucidRook, 64-bit Windows ortamlarında çalışacak şekilde tasarlanmıştır ve güçlü bir şekilde obfiske edilmiştir. Kötü amaçlı yazılımın iki ana işlevselliği bulunmaktadır:
- Sistem bilgilerini toplamak ve bunları harici bir sunucuya göndermek.
- Şifreli bir Lua bayt kodu yüklemesini almak ve ardından bu kodu kurban makinede çözerek çalıştırmak.
Ayrıca, LucidPawn, özellikle Tayvan ile ilişkili geleneksel Çince ortamlar için sistem kullanıcı arayüzü dilini sorgulayan bir coğrafi sınırlama tekniğini de uygulamaktadır. Bu durum, kötü amaçlı yazılımın hedef coğrafyada çalışmasını sağlamakta ve yaygın analiz kum havuzlarında tespit edilme olasılığını azaltmaktadır.
Çözüm ve Korunma
Cisco Talos’a göre, bu kötü amaçlı yazılım kampanyaları, hedefli ve esnek bir şekilde planlanmış olup, ciddiyetle analiz edilmesi gerekmektedir. UAT-10362’nin, mevcut güvenlik altyapısını ve yaygın hizmetleri kullanarak gizlilik odaklı bir operasyon yürüttüğüne dair ipuçları vardır.
Tüm bu riskleri göz önünde bulundurarak, aşağıdaki önlemleri almanız önerilir:
- Sistemleri en son güncelleme ve yamalarla güncel tutun.
- Güvenlik duvarınızı yapılandırarak potansiyel kötü amaçlı bağlantıları engelleyin.
- Şüpheli e-postalardan gelen dosyaları açmaktan kaçının.
- Tahmin edilemeyen sağlık yazılımlarını kullanmayın ve bunları yüklemekten kaçının.
Ayrıca, LucidRook ve benzeri tehditler hakkında bilgi sahibi olmak için düzenli olarak siber güvenlik haberlerini takip etmeniz önemlidir.
