Demek gelen kutunuzun bilgisayar korsanlarının gizlendiği tek yer olduğunu sanıyordunuz? Yanılıyorsunuz. UNC6692 adlı bir ekibin son numarası, onların ne kadar iç içe geçtiğini ve açıkçası ne kadar can sıkıcı olduklarını gösteriyor. Sadece kapıyı çalmıyorlar; güvendiğiniz araçları kullanarak kendilerini davet ediyorlar.
Buradaki asıl olay sadece başka bir kötü yazılım dağıtımı değil. İşin özü, düpedüz pervasızlık. Bu tipler, her gün kullandığınız kurumsal araçların kolay lokma olduğuna karar vermişler. İşbirliğinin sözde merkezi olan Microsoft Teams, artık altın kafesin kapısı haline geliyor. Peki ya tarayıcınız? Birdenbire, sadece kedi videolarına bakmak için değil; işin içinde sinsi bir uzantı sayesinde bir Truva atına dönüşüyor.
Dijital kapılarını hala kilitli tutmaya çalışan herkes için durum şöyle özetlenebilir: UNC6692 size e-posta yağdırıyor. Klasik dikkat dağıtma taktiği. Sonra, bingo. Yardımsever BT desteği gibi görünen bir Microsoft Teams mesajı geliyor. Taşınan gelen kutunuzu düzeltmeyi teklif ediyorlar. Tek yapmanız gereken bir “yerel yama” yüklemek için bir bağlantıya tıklamak. Kolay, değil mi? Yanlış. O bağlantı, sadece bir betiği değil, yeniden adlandırılmış bir AutoHotKey ikili dosyasını sessizce indiren bir web sayfasına yönlendiriyor. İsimler eşleşirse, bam! Betik çalışır. Zarar başlar.
UNC6692 kampanyası, özellikle sosyal mühendislik, özel kötü yazılım ve kötü amaçlı tarayıcı uzantısı kullanımı konusunda ilginç bir taktik evrimi sergiliyor; kurbanın birden fazla kurumsal yazılım sağlayıcısına olan doğal güvenini sömürüyor.
Bu, güvenlik duvarınızı çalan bir script kiddie değil. Bu hesaplanmış bir hamle. BT departmanınıza güvendiğinizi biliyorlar ve Teams bildirimine güvenmenize oynuyorlar. SNOWBELT adlı kötü yazılım, Chrome Web Mağazası’nda saklanmaya bile çalışmıyor. Doğrudan yüklenen, ev yapımı bir tehdit bu. Ve burada bitmiyor.
İnatçılık Anahtar Kelime, Görünüşe Göre.
SNOWBELT içeri girdiğinde, sisteminizin başlangıcıyla iyi geçiniyor. Windows Başlangıç klasöründeki bir kısayol, ikinci kahvenizi içmeden önce çevrimiçi olmasını sağlıyor. Ardından gerçek sihir başlıyor: zamanlanmış görevler. Bunlar sadece SNOWBELT’i çalıştırmaya devam etmek için değil. Hayır. Amaçları, kötü yazılımlarını çalıştırmayan herhangi bir Microsoft Edge işlemini bulup sonlandırmak. Temelde Edge’i kötü amaçlı uzantılarını kabul etmeye zorluyorlar ve tarayıcınızı kendi özel casuslarına dönüştürüyorlar.
Bu tüm dans – Teams tuzağı, AutoHotkey betiği, bozuk tarayıcı uzantısı – sosyal mühendislik ve özel araçların bir senfonisi. Güveninizi ve günlük yazılımlara olan bağımlılığınızı sömürmek için tasarlandı. Bir kurye gibi davranıp ön kapınızı açmanızı sağlayan birinin dijital karşılığı bu.
Bu Gerçek İnsanlar İçin Neden Önemli?
Bu sadece üst düzey yöneticilerin veya BT güvenlik ekibinin endişelenmesi gereken bir şey değil. Bu doğrudan ortalama çalışanı etkiliyor. Bu, görünüşte zararsız bildirimlerin bile tuzak olabileceği anlamına geliyor. Bu, belki de unuttuğunuz uzantılarla desteklenen sıradan gezinme alışkanlıklarınızın ciddi saldırılar için vektörler haline gelebileceği anlamına geliyor. Bu, tetikte olmanın sadece siber savaşçılar için değil; bilgisayara giriş yapan herkes için geçerli olduğu keskin bir hatırlatma.
UNC6692’nin ilk ödün vermeden sonra ağ içinde PsExec ve özel SNOWGLAZE tüneli üzerinden RDP gibi araçları kullanarak geçiş yapabilme yeteneği, sadece veri alıp gitmedikleri anlamına geliyor. Yerleşiyorlar, araştırıyorlar ve potansiyel olarak yaygın aksamalara neden oluyorlar. Bu bir soygun-kaçış değil; titizlikle planlanmış bir işgal.
Tarayıcı Uzantısı Gerçek Kötü Adam
SNOWBELT, kötü amaçlı Chromium tarayıcı uzantısı, anahtar unsur. Web trafiğinizle doğrudan etkileşime giren, etrafı koklayan ve daha fazla yükleme dosyası alan kısım bu. Dijital duvarlarınızın içindeki bir köstebek gibi düşünün, sürekli olarak saldırganlara bilgi iletiyor. Dağıtım için resmi kanalları kullanmamaları, sahip olduğunuz tüm alarm zillerini çaldırmalı.
Sosyal mühendisliği ilk kez görmüyoruz. Ancak Teams, özel bir AutoHotkey kötü yazılımı ve derinlemesine yerleşmiş bir tarayıcı uzantısının kombinasyonu, sofistike bir tırmanışı temsil ediyor. Bu, sürekli olarak geliştirilen bir oyun planı ve bu deneylerin alıcıları biziz. Akıllı olun. Şüpheci olun. Dijital yaşamınız buna bağlı.
SNOWBELT Sonrası Ne Olur?
SNOWBELT yerleştiğinde, saldırganlar durmuyor. SNOWGLAZE ve SNOWBASIN gibi daha fazla özel kötü yazılım indirmek için onu kullanıyorlar. Ayrıca AutoHotkey betikleri ve taşınabilir bir Python ortamı dağıtıyorlar. Bu çok aşamalı yaklaşım, ortamlarında bulduklarına göre araç setlerini uyarlayarak esnek kalmalarını sağlıyor. Sadece tek bir bomba atmıyorlar; içeri girdiklerinde tüm cephaneliği inşa ediyorlar.
Ardından iç keşif geliyor. UNC6692, savunmasız portlar için ağınızı taramak üzere Python betiklerini kullanıyor. Bundan sonra, komutları uzaktan yürütmek için SNOWGLAZE tünellerini kullanıyorlar. Daha da derin erişim elde etmek için yerel yönetici hesapları arıyorlar. Hedefleri, iş istasyonunuzdan sunuculara kadar yan yana hareket ederek her adımda ayrıcalıkları yükseltmek. Kesintiler kötüden felakete bu şekilde dönüşür.
🧬 İlgili İçgörüler
- Daha fazla oku: 70 Dolarlık Yardım Masası Bileti: Parola Sıfırlamaları Hackerlar İçin Ön Kapı Haline Nasıl Geldi?
- Daha fazla oku: ChatGPT’nin Sessiz Veri Sızıntısı, Android Rootkitleri Milyonları Enfekte Ediyor, Su Tesislerine Fidye Yazılımı Saldırısı: Gerçek Siber Tehlike
Sıkça Sorulan Sorular
UNC6692 nedir? UNC6692, kurban ağlarına sızmak için sosyal mühendislik ve özel kötü yazılım kullanan yeni tanımlanmış bir tehdit grubudur.
UNC6692 kötü yazılımını nasıl dağıtıyor? Kurbanları, kötü amaçlı bir tarayıcı uzantısı olan SNOWBELT’i içeren özel bir kötü yazılım paketini indiren kötü amaçlı bir bağlantıya tıklamaya ikna etmek için Microsoft Teams üzerinden BT desteği gibi davranıyorlar.
