Öne Çıkan Siber Saldırılar: UAT-7237’nin Tehditleri
Son dönemde, siber güvenlik alanında önemli gelişmeler yaşanıyor. Özellikle, Çin kökenli bir siber tehdit aktörü olan UAT-7237’nin, Tayvan’daki web altyapılarını hedef alması dikkat çekiyor. Özelleştirilmiş açık kaynak araçları kullanan bu grup, uzun vadeli erişim sağlamayı hedefliyor. Cisco Talos’un yaptığı araştırmalar, bu grubun en az 2022’den beri aktif olduğunu gösteriyor.
UAT-7237 ve Faaliyetleri
UAT-7237, Tayvan’daki kritik altyapılara yönelik saldırı gerçekleştiren UAT-5918 grubunun bir alt grubu olarak değerlendirilmektedir. UAT-7237’nin, özellikle Cobalt Strike arka kapısı kullanması ve daha sonra web shell’ler dağıtması dikkat çekmekte. Kurban sistemlerindeki ilk uzaktan erişim sağlandıktan sonra, SoftEther VPN istemcisi kullanılarak sürekli erişim sağlanıyor. Bununla birlikte, saldırılar genelde izin verilmeyen güvenlik açıklarını hedef alarak başlatılıyor.
Araştırmacıların belirttiği gibi, diğer grupların aksine UAT-7237, sistemlere erişim sağladıktan sonra başka sistemlere geçiş yaparak etkisini artırıyor. Başka bir deyişle, çoğu siber aktör, erişimi sağladıktan hemen sonra web shell’lerini devreye sokarken, UAT-7237 daha dikkatli ve analiz eden bir yaklaşım sergiliyor.
Saldırı Yöntemleri
UAT-7237, saldırı zincirini başlatmak için bilinen güvenlik açıklarını kullanıyor. İlk olarak, internete açık ve yamanmamış sunucular üzerinde keşif yapılmakta. Ardından, hedefin siber aktörler açısından çekici olup olmadığı belirleniyor. Bu aşama, siber zafiyetlerin bulunması ve bunların kullanılmasında önemli bir rol oynuyor. Kullanılan SoundBill adındaki shellcode yükleyici, ilginç bir şekilde, ikincil yükleri başlatmak için tasarlanmış.
Saldırganlar, UAC’yi devre dışı bırakmak ve açık metin parolalarını depolamak gibi Windows Kayıt Defteri değişiklikleri yapmak üzere FScan adlı bir aracı da kullanmaktadır. Tüm bu faaliyetlerin ardından, söz konusu tehdit grubu, hedeflerine yönelik daha karmaşık saldırılar gerçekleştirme fırsatı buluyor.
Ekipman ve Araçlar
UAT-7237’nin saldırılarında, JuicyPotato adındaki ayrıcalık yükseltme aracı ile Mimikatz kullanıldığı gözlemlenmiştir. Mimikatz, bir siber korsanın erişim sağladığı sistemlerde kimlik bilgilerini çıkartmasına yaraşır bir biçimde çalışmaktadır. Ayrıca, SoundBill’in yeni sürümünün Mimikatz örneğini içerdiği ve böylelikle aynı hedeflere ulaşmayı hedeflediği bildirilmektedir.
Bir diğer önemli nokta ise, grup üyelerinin Açık Kaynak Araçları üzerinde geliştirilmiş yazılımları kullanma yeteneğidir. UAT-7237’nin SoftEther VPN istemcisinde kullanmak üzere tercih ettiği Basitleştirilmiş Çince, onların detaylı bir analiz yapmakteki becerilerini gözler önüne sermektedir.
Son Gelişmeler ve Tehdit Modelleri
Son olarak, Intezer tarafından keşfedilen yeni bir arka kapı olan FireWood, China'ya bağlı bir tehdit aktörüne işaret ediyor. FireWood, daha önce ESET tarafından Eylül 2024’te tanımlanmıştı. Bu arka kapı, bir kernel sürücüsü ile süreçleri gizleyerek saldırganın komutlarını yürütmesine olanak sağlıyor. Ancak, Intezer araştırmacıları, bu arka kapının yeni versiyonlarıyla ilgili net bir bilgiye ulaşamadıklarını belirtiyor.
Tüm bu bilgiler, siber güvenlik alanında artan tehditlerin ve gelişen siber saldırı taktiklerinin bir yansıması olarak değerlendirilebilir. Siber saldırı tehdidi, sadece belirli bir bölge ile sınırlı kalmayıp, tüm dünyayı etkileyen bir sorundur. Bu nedenle, bireylerin ve kurumsal yapıların siber güvenlik önlemlerini güçlendirmesi artık bir gereklilik haline gelmiştir.
SEO uyumlu içerik üretirken, anahtar kelimelerin doğru bir şekilde kullanılması büyük önem taşımaktadır. Bunun yanı sıra, içerik oluşturan kişi ya da kuruluşların, hedef kitleyi etkileyecek nitelikte bilgiler sunması da kritik öneme sahip. UAT-7237 ve benzeri grupların faaliyetlerinin anlaşılması, gelecekteki saldırılara karşı daha etkin savunma stratejilerinin geliştirilmesine yardımcı olabilir.
