Çinli Siber Tehdit Aktörünün Saldırıları: UAT-6382’nin Faaliyetleri
Son günlerde, siber güvenlik alanında dikkat çeken bir olay yaşandı. Çinli bir tehdit aktörü olarak bilinen UAT-6382, Trimble Cityworks yazılımındaki bir uzaktan kod yürütme (RCE) açığını kullanarak ciddi saldırılar gerçekleştirdi. Bunun sonucunda, siber güvenlik şirketi Cisco Talos’un araştırmacıları, bu olayın detaylarını kamuoyuna açıkladı.
Vulnerability Analizi: CVE-2025-0944
Saldırının temelinde CVE-2025-0944 adı verilen bir güvenlik açığı yer alıyor. Bu açığın CVSS puanı 8.6 olarak belirlenmiş durumda. Açık, Coğrafi Bilgi Sistemleri (GIS) odaklı varlık yönetim yazılımında bulunuyor ve uzaktan kod yürütme olanağı sağlıyor. UAT-6382, bu açığı kullanarak ilgili sisteme erişim sağladı ve hızla çeşitli web shell’ler ve özel yapım kötü amaçlı yazılımlar dağıttı.
Araştırmalar, UAT-6382’nin saldırılarının Amerika Birleşik Devletleri’ndeki yerel yönetimlerin kurumsal ağlarını hedef aldığını ortaya koyuyor. Saldırılar, Ocak 2025 itibarıyla başlamış ve bu durum, siber güvenlik alanında ciddi bir endişe yaratmıştır.
Web Shell’lerin Rolü ve Etkileri
UAT-6382, hedef sisteme erişim sağladıktan sonra, ön araştırma yaparak sunucu üzerinde çeşitli dizinleri taradı. Bunun sonucunda, AntSword, chinatso/Chopper ve Behinder gibi yaygın olarak kullanılan web shell’lerini sistemlere yerleştirdi. Bu web shell’ler, siber suçlulara sistem üzerinde uzaktan kontrol imkanı tanıyarak, kötü amaçlı aktivitelerini sürdürebilmeleri için gerekli ortamı sağlıyor.
Araştırmacılar, UAT-6382’nin sunucularda önemli dosyaları belirledikten sonra, bunları kolayca dışarı aktarabilmek için web shell yerinde beklettiğini ifade ediyor. Ayrıca, UAT-6382, PowerShell aracılığıyla arka kapılar kurarak, ele geçirilen sistemlerde uzun süreli erişim sağladı.
Yazılımların Özelliği ve Tehditler
Söz konusu saldırılarda, Cobalt Strike ve VShell gibi zararlı yazılımlar kullanıldı. Bu yazılımların dağıtımı, Rust tabanlı bir yükleyici aracılığıyla gerçekleştirilmiştir. Cisco Talos, bu yükleyiciyi TetraLoader olarak takip etmekte ve MaLoader isimli, halka açık olarak kullanılabilen bir kötü amaçlı yazılım inşa etme çerçevesine dayandığını belirtmektedir.
VShell, Go tabanlı bir uzaktan erişim aracı olarak işlev gördü. UAT-6382’nin hedeflerine uzaktan erişim sağlama çabaları, siber saldırganların sistemleri ele geçirme ve uzun vadeli erişim sağlama amacı taşıdığını göstermektedir.
Önlemler ve Gelecek Senaryoları
UAT-6382’nin faaliyetleri, siber güvenlik alanındaki açıkların ne denli ciddi sonuçlar doğurabileceğini bir kez daha gözler önüne seriyor. CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), CVE-2025-0944 açıklarını Şubat 2025 itibarıyla Bilinen Kötüye Kullanılan Açıklar (KEV) kataloğuna ekledi.
Bu tarz zafiyetlerin zamanında kapanması son derece önemli. Siber güvenlik uzmanları, şirketlerin ve kurumların bu gibi saldırılara karşı daha dikkatli olmaları gerektiğini vurgulamaktadır.
Sonuç Olarak
Siber saldırılar, modern dünyada giderek daha fazla tehdit oluşturmaktadır. UAT-6382’nin saldırıları, siber güvenlik anahtarının güncellemelerde, kullanıcı eğitimlerinde ve bilinçlenmede yattığını gösteriyor. Güvenlik açıklarının zamanında tespit edilmesi ve giderilmesi, hem bireyler hem de kurumlar için hayati bir önem taşımaktadır.
