Google’ın Mandiant birimi tarafından UNC1549, diğer isimleriyle Nimbus Manticore veya Subtle Snail olarak takip edilen bir tehdit aktörü, 2023 sonundan itibaren havacılık ve savunma sektörlerine yönelik sofistike siber saldırılar düzenliyor. Bu grup, özellikle üçüncü taraf tedarikçi ilişkilerini hedef alarak karmaşık erişim yöntemleriyle ağlara sızıyor ve uzun süreli kalıcılık sağlıyor.

UNC1549’un İlk Erişim Stratejileri

UNC1549, hizmet sağlayıcılar üzerinden müşterilere geçiş yaparak, VDI (Sanal Masaüstü Altyapısı) çıkış noktalarını ele geçirerek ve hedef odaklı, rol bazlı oltalama saldırılarıyla ilk erişimi sağlıyor. Citrix, VMWare ve Azure Sanal Masaüstü ve Uygulama (VDA) gibi platformların kimlik bilgilerini çalarak, sanallaştırılmış oturumların sınırlarını aşmak ve hedef sistemlerde yatay hareketlilik başlatmak için kullanıyorlar. Bu yöntem, savunma müteahhitleri gibi yüksek güvenlikli kurumlarda bile üçüncü taraf zayıflıklarından faydalanmayı mümkün kılıyor.

Özel Zararlılar ve Araçlar

Grubun kullandığı zararlılar arasında C++ ve Golang tabanlı gelişmiş arka kapılar ve tünelleyiciler bulunuyor. MINIBIKE (SlugResin) Outlook kimlik bilgilerini çalarken, TWOSTROKE sistem bilgisi toplama, DLL yükleme ve kalıcılık sağlama işlevleriyle öne çıkıyor. DEEPROOT ise Linux ortamlarında shell komutları çalıştırabilen ve dosya işlemleri yapabilen Golang tabanlı bir arka kapı. Ayrıca LIGHTRAIL ve GHOSTLINE gibi Azure bulut altyapısını hedef alan tünelleme araçları, POLLBLEND ve DCSYNCER.SLICK gibi ayrıcalık yükseltme ve komut-kontrol (C2) bileşenleri kullanılıyor.

Bu zararlılar, MCP istemcisi benzeri modüler yapılarla uzaktan komut alabiliyor; Pydantic AI destekli analiz ve otomatikleştirilmiş hareketlerle saldırılarını optimize ediyorlar. AsyncRAT tarzı asenkron iletişim protokolleri, rastgele seçilen SSH portları üzerinden konteynerlerde çalışan zararlıların tespitini zorlaştırıyor. Ayrıca, RDP bağlantı geçmişi kayıt anahtarlarının silinmesi gibi iz temizleme teknikleriyle operasyonlarını gizli tutuyorlar.

Sosyal Mühendislik ve Uzun Süreli Kalıcılık

UNC1549, LinkedIn üzerinden işe alım temalı oltalama kampanyalarıyla BT personeli ve yöneticileri hedef alıyor. Bu e-postalar, alıcıları sahte bağlantılara tıklamaya ve zararlı yazılım indirmeye yönlendiriyor. Elde edilen ayrıcalıklı kimlik bilgileriyle ağda derin erişim sağlanıyor. Mandiant’a göre grup, aylarca sessizce beacon göndererek tespit edilmekten kaçınıyor ve mağdurun sektörünü taklit eden alan adlarıyla C2 iletişimini sürdürüyor. Bu yöntem, adli delillerin sınırlandırılmasına ve saldırının uzun süre fark edilmemesine olanak tanıyor.

Teknik Analiz ve Öneriler

UNC1549’un saldırılarında kullanılan araçların çoğu, modüler ve çok katmanlı yapılarıyla dikkat çekiyor. Örneğin, DEEPROOT’un Golang tabanlı olması, Linux sistemlerde yüksek performans ve çapraz platform uyumluluğu sağlıyor. TWOSTROKE ve MINIBIKE gibi C++ arka kapılar ise düşük algılanabilirlik için optimize edilmiş. Ayrıca, POLLBLEND ve GHOSTLINE gibi tünelleyiciler, sabit kodlu C2 sunucuları ve ters SSH kabukları kullanarak ağ trafiğini gizliyor.

Bu saldırılara karşı savunma için, üçüncü taraf tedarikçi güvenlik denetimlerinin artırılması, VDI erişimlerinin sıkılaştırılması ve rol bazlı erişim kontrollerinin gözden geçirilmesi kritik önem taşıyor. Ayrıca, kimlik bilgisi hırsızlığına karşı çok faktörlü kimlik doğrulama (MFA) ve anormal oturum hareketlerinin izlenmesi öneriliyor. CVE-2023-XXXX gibi ilgili zafiyetlerin yamalanması ve konteyner ortamlarında rastgele SSH portlarının kullanılması da saldırı yüzeyini azaltabilir.

Daha fazla teknik detay ve güncel tehdit istihbaratı için Mandiant raporları ve PRODAFT analizleri takip edilmelidir.