Şöyle düşünün, hepimiz bu durumdayız. E-postalar altında eziliyorsunuz, kurumsal duyurular veya acımasız pazarlama kampanyalarından gelen dijital çöplük haline gelmiş bir gelen kutusuyla boğuşuyorsunuz. İşte tam da bu kaosu, yeni keşfedilen bir tehdit aktörü olan UNC6692 silah haline getiriyor. Dijital pislikle her gün haşır neşir olan çoğumuz için beklenti, saldırganların gizli, sıfır gün açıklarını geliştirmeye devam edeceği veya doğrudan büyük fidye yazılımı kazancına yöneleceği yönündeydi. Ama bu? Bu, eski usul psikolojik savaşın saf hacimle büyütülmüş hali ve şaşırtıcı derecede etkili.
UNC6692’nin yaptığı şey… açıkçası, kaba gücünde bir dahiyane durum. Bir e-posta tsunami ile başlıyor. Sadece birkaç spam mesaj değil, dijital bir hidrayla savaşıyormuş gibi hissettiren ezici bir sel. Sonra, tam çırpınırken, BT departmanınız – ya da BT departmanınız gibi görünen biri – Microsoft Teams üzerinden ortaya çıkıp bu karmaşayı çözmeye yardım etmeyi teklif ediyor. Bu, bir soyguncunun yere dökülen market poşetlerinizi toplamaya yardım etmeyi teklif edip cüzdanınızı kapması gibi bir durumun dijital karşılığı.
Bunlar Sadece Eski Numaralar mı?
Yeni bir şey icat etmiyorlar, değil mi? BT desteği taklidi yapmak? Olmuş bitmiş. Sahte oturum açma sayfalarına çekmek? Baydı artık. Ancak buradaki koordinasyon can sıkıcı olan kısım. Makale, kurbanın tarayıcısını (özellikle Microsoft Edge, ki bu… tuhaf ama detaylar önemli, sanırım) kontrol ettiklerini ve ardından sahte bir posta kutusu onarım aracı sunduklarını belirtiyor. Bu araç, arka planda AutoHotKey betiklerini indirip çalıştırıyor, bu betikler de gerçek yükü devreye sokuyor: Snowbelt adlı, bir Chromium tarayıcı uzantısı gibi görünen JavaScript tabanlı bir arka kapı. Bu, zararlı yazılımların bir matruşka bebeği gibi; her katman, gerçek hasar verilirken sizi yanlış güvenlik hissine kapılmaya ikna etmek için tasarlanmış.
Ve kalıcılık? Ah, onu da düşünmüşler. AutoHotKey betiğine kısayollar, Windows başlangıç klasörüne atılıyor. Penceresiz bir Edge işleminin Snowbelt’i yüklediğinden ve ardından ortaya çıkmaya cüret eden herhangi bir başıboş penceresiz Edge işlemini acımasızca avladığından emin olmak için iki zamanlanmış görev oluşturuluyor. Bu dijital bir istila ve kalıcı olduğundan emin oluyorlar.
“UNC6692 kampanyası, modern saldırganların ortamlara giriş yapmak için sosyal mühendislik ve teknik kaçınmayı nasıl harmanladığını gösteriyor. […] Saldırganlar, zararlı bileşenleri güvenilir bulut platformlarında barındırarak geleneksel ağ itibar filtrelerini aşabilir ve meşru bulut trafiğinin yüksek hacmine karışabilir,” diye belirtiyor GTIG.
İşte burada işler karışıyor ve açıkçası benim şüpheciliğim doruk noktasına ulaşıyor. AWS S3 kovalarında barındırmak mı? Zararlı trafiği gizlemek için güvenilir bulut platformlarını kullanmak mı? Bu sadece bir arka kapı sokmaktan daha fazlası; bu, o arka kapıyı mümkün olduğunca görünmez kılmakla ilgili. Sadece ormanda saklanmıyorlar; ağaçların içinde saklanıyorlar, meşru işletmelerin varlıklarını gizlemek için güvendikleri altyapıyı kullanıyorlar. Akıllıca, tamamen şeytani bir hamle olsa da. Kim buradan para kazanıyor? Açıkçası, UNC6692’nin arkasındaki kişi veya kişiler ve potansiyel olarak veri sızdıranlar. Asıl soru, buna izin vermeye devam edip etmeyeceğimiz.
‘Snow’ Gerçekten Ne Yapıyor?
Snowbelt ile kapıyı araladıklarında asıl eğlence başlıyor. Daha fazla ‘hediye’ indirmeye başlıyorlar – daha fazla AutoHotkey betiği, bir ZIP arşivi ve en önemlisi, Snowglaze ve Snowbasin adlı bileşenler. Python tabanlı bir tünelleyici olan Snowglaze, saldırganların komuta ve kontrol sunucusuna güvenli bir WebSocket tüneli oluşturuyor. Bunu, ele geçirilmiş ağınızdan kötü niyetli merkezlerine giden özel, şifreli bir yol gibi düşünün. SOCKS proxy işlemleri sağlıyor, bu da temelde trafiği sizin ağınız üzerinden yönlendirebilecekleri anlamına geliyor, böylece sizin yaptığınız gibi görünüyor. Onlar için kullanışlı, sizin için korkutucu.
Snowbasin ise kalıcı arka kapı. Yerel bir HTTP sunucusu olarak hareket ediyor, komutları yürütmeye, ekran görüntüleri almaya ve bulabildiği kadar veriyi sünger gibi çekmeye hazır. Tüm düzenek – Snowbelt, Snowglaze, Snowbasin – koordineli bir saldırı. Tek bir araç değil; ilk girişi, yanal hareketi ve nihayetinde hassas bilgilerinizin derinlemesine incelenmesini kolaylaştırmak için tasarlanmış bir siber suçlu İsviçre çakısı. Sadece veri çalmakla kalmıyorlar; tüm dijital krallığınızı haritalandırıyorlar.
Yanal hareket özellikle ürkütücü. Snowglaze, bir PsExec oturumu kurmak ve yönetici hesaplarını listelemek için kullanılıyor. Ardından, muhtemelen Snowglaze tüneli aracılığıyla bir yedek sunucuya atlamak için RDP kullanıyorlar. Oradan, LSASS işlem belleğini – kimlik bilgilerinin hazinesi – döküyor ve LimeWire (evet, o LimeWire, görünüşe göre zararlı yazılım sızdırma aracı olarak ölülerden dönmüş) kullanarak sızdırıyorlar. Ardından alan denetleyicisine ulaşmak, FTK Imager gibi araçları kapmak ve AD veritabanı dosyalarını, SAM, Sistem ve Güvenlik kayıt defteri yuvalarını çekmek için Pass-The-Hash saldırıları kullanıyorlar. Bu, ağınızın en kritik verilerinin tam, sistematik bir soyulması.
Neden Bu ‘Snow’ Kampanyası Endişe Verici?
Bu sadece yeni bir zararlı yazılımla ilgili değil. Metodoloji hakkında. UNC6692, eski taktiklerin, amansız, ezici bir yaklaşımla ve bulut altyapısının akıllıca kullanımıyla birleştiğinde hala inanılmaz derecede güçlü olabileceğini kanıtlıyor. Sadece güvenlik duvarlarını aşmakla kalmıyorlar; insan unsurunu – bunalma eğilimimizi, yardım arama, tanıdık olana güvenme eğilimimizi – aşıyorlar. Ve meşru bulut trafiğine karışarak, geleneksel güvenlik araçlarının onları tespit etmesini bile zorlaştırıyorlar. Psikolojik manipülasyon ve teknik kaçınmanın sofistike bir karışımı ve yeni bir antivirüs takmaktan daha nüanslı bir savunma gerektirecek.
Bana APT’lerin ilk günlerini hatırlatıyor, nerede sabır ve titiz planlamaya odaklanılıyordu. Ama bu… daha hızlı hissettiriyor. Daha kaba kuvvetli, ama yine de sonraki aşamalarda cerrah hassasiyetiyle. Doğrudan Aktif Dizin veritabanını hedeflemeye istekli olmaları, açıkçası rahatsız edici bir hırs seviyesini gösteriyor. Hızlı bir para kazanma peşinde değiller; içeriden dışarıya yıkmak istiyorlar. Ve dürüst olmak gerekirse, 2000’lerin başından kalma yeniden canlanmış, P2P dosya paylaşım uygulamasını veri sızdırmak için kullanmaları, bazen en anlaşılmaz araçların en tehlikeli hale gelebileceğinin acı bir hatırlatıcısı.
🧬 İlgili İçgörüler
- Daha fazla oku: Check Point’in 2025 Tehdit İstihbaratı: Gerçek Kenar mı Yoksa Yankı Odası mı?
- Daha fazla oku: Hack Kurtarma: Hızlı Davranın Yoksa Kaybedersiniz
Sıkça Sorulan Sorular
‘Snow’ zararlısı ne yapar?
‘Snow’ zararlısı, UNC6692 tehdit aktörü tarafından kullanılan modüler bir çerçevedir. Bileşenleri olan Snowbelt, Snowglaze ve Snowbasin, kimlik bilgileri çalmak, bir ağ içinde yanal hareket etmek ve veri sızdırma için kalıcı arka kapılar kurmak üzere birlikte çalışır.
UNC6692 kurban sistemlerine nasıl girdi?
UNC6692 iki yönlü bir yaklaşım kullanıyor: önce kurbanları yüksek hacimli e-postalarla bombalamak, ardından Microsoft Teams gibi platformlar aracılığıyla BT desteği taklidi yaparak kullanıcıları bir araç gibi görünen kötü amaçlı kodu indirmeye ve çalıştırmaya kandırmak.
Bu saldırı belirli şirketleri mi hedefliyor?
Makale belirli kurbanları adlandırmasa da, saldırının sofistikeliği, değerli verilere sahip, muhtemelen bu kadar ayrıntılı bir kampanya için gereken çaba ve kaynakları hak edecek daha büyük kuruluşları hedeflediğini gösteriyor.
