Saldırının Genel Çerçevesi
UAC-0050 olarak bilinen DaVinci Grubu, bu ayın başlarında Avrupa’da faaliyet gösteren ismi açıklanmayan bir finans kurumunu hedef aldı. Saldırının başlangıcında, Ukrayna yargı alan adını taklit eden oltalama e-postaları kullanıldı. Bu e-postalar, hedefteki kıdemli hukuk ve politika danışmanlarını PixelDrain dosya paylaşım platformunda barındırılan şifre korumalı arşiv dosyalarını indirmeye yönlendirdi.
Saldırı Zinciri ve Teknik Detaylar
İndirilen ZIP dosyası, çok katmanlı bir enfeksiyon zincirini tetikledi. ZIP içinde, şifre korumalı 7-Zip dosyası içeren bir RAR arşivi yer alıyordu. Bu RAR dosyası, çift uzantı hilesi (*.pdf.exe) ile gizlenmiş, PDF gibi görünen çalıştırılabilir bir dosya içeriyordu. Çalıştırılmasıyla birlikte, Rus yapımı Remote Manipulator System (RMS) için MSI yükleyicisi dağıtıldı. RMS, uzaktan kontrol, masaüstü paylaşımı ve dosya transferi gibi yeteneklere sahip olup, saldırganlara kalıcı ve gizli erişim sağlıyor.
UAC-0050’nin önceki operasyonlarında da LiteManager ve RemcosRAT gibi meşru uzaktan erişim araçları ve truva atları kullanıldığı biliniyor. Bu yöntemler, geleneksel antivirüs çözümlerinden kaçınmak ve uzun süreli erişim sağlamak için tercih ediliyor.
Hedefler ve Tehdit Aktörünün Profili
Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), UAC-0050’yi Rus kolluk kuvvetleriyle bağlantılı paralı asker grubu olarak tanımlıyor. Grup, Fire Cells adı altında veri toplama, finansal hırsızlık ve psikolojik operasyonlar yürütüyor. Bu saldırı, grup tarafından daha önce Ukrayna merkezli muhasebe ve finans çalışanlarına yönelik yapılan operasyonların bir devamı niteliğinde. Ancak bu kez hedefler, Batı Avrupa’da Ukrayna’yı destekleyen kurumlar olarak genişletildi.
Güvenlik Ekipleri İçin Teknik Özet
- Tehdit aktörü: UAC-0050 (DaVinci Grubu) / Mercenary Akula
- Kullanılan zararlı araçlar: RMS (Remote Manipulator System), LiteManager, RemcosRAT
- Saldırı yöntemi: Hedefli oltalama e-postası, şifre korumalı çok katmanlı arşiv dosyası
- Kullanılan hile: Çift uzantı (*.pdf.exe) ile çalıştırılabilir dosya gizleme
- Hedef sektör: Finans, hukuk ve politika danışmanlığı
- Bölge: Avrupa, özellikle Batı Avrupa ve Ukrayna
- Önerilen savunma: Çok faktörlü kimlik doğrulama (MFA), EDR ve SIEM ile anomali tespiti, e-posta güvenliği çözümleri, ağ segmentasyonu
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- Şüpheli e-postalar için gelişmiş e-posta güvenliği filtreleri uygulayın.
- Şifre korumalı arşiv dosyalarının indirilmesini ve açılmasını kısıtlayın.
- EDR çözümleri ile RMS ve benzeri uzaktan erişim araçlarının davranışlarını izleyin.
- SIEM sistemlerinde olağandışı dosya indirme ve çalıştırma aktivitelerini takip edin.
- Çift uzantılı dosyalar için uyarı ve engelleme politikaları oluşturun.
- Kritik pozisyonlardaki kullanıcılar için IAM ve Zero Trust prensiplerini uygulayın.
- Uzaktan erişim yazılımlarının kullanımını sıkı denetim ve kayıt altına alma ile yönetin.
- Olay müdahale planlarını güncelleyerek bu tür saldırılara karşı hazırlıklı olun.
Kurumsal Ortamlarda Olası Senaryo
Bir finans kurumunda kıdemli bir hukuk danışmanı, sahte Ukrayna yargı alan adıyla gönderilen oltalama e-postasındaki bağlantıya tıklayarak PixelDrain üzerinden şifre korumalı arşiv dosyasını indirir. Dosya açıldığında, çift uzantılı zararlı çalıştırılabilir dosya sistemde RMS yükleyicisini çalıştırır. Saldırganlar, RMS aracılığıyla kurum ağına gizlice erişim sağlar, hassas finansal verilere ulaşır ve uzun süre fark edilmeden veri toplar. Bu senaryo, e-posta güvenliği ve ağ segmentasyonu gibi önlemlerin önemini ortaya koymaktadır.
Son raporlar, bu tür gelişmiş tehditlerin özellikle kritik finansal ve hukuki rollerin hedef alınmasıyla kurumsal güvenlik politikalarının gözden geçirilmesi gerekliliğini vurgulamaktadır.