UNC5221

UNC5221, dünya çapında hükümet, savunma, kritik altyapı ve yüksek değerli işletmelere sızmak için özel malware ve kalıcılık teknikleri kullanan, internete dönük cihazların istismarı konusunda uzmanlaşmış, Çin devlet destekli bir casusluk grubudur.

Kuruluşunuz UNC5221 Saldırılarına Karşı Güvende mi?

UNC5221'in Kökeni

UNC5221, ilk olarak 2023'ün sonlarında Mandiant tarafından kamuya açık olarak tanımlanan, Çin devlet destekli bir Gelişmiş Kalıcı Tehdit (APT) grubudur. Grup, internete dönük altyapıya, özellikle de VPN cihazlarına ve uç cihazlara odaklanan yüksek hedefli casusluk kampanyalarıyla tanınmaktadır. UNC5221, kalıcı erişimi sürdürme, veri sızdırma ve ağ gözetimi dahil olmak üzere uzun vadeli stratejik hedeflerle tutarlı bir karmaşıklık düzeyinde faaliyet göstermektedir.

  • İlişkilendirme: Çin bağlantılı siber casusluk operasyonlarıyla bağlantılı, muhtemelen Devlet Güvenlik Bakanlığı'nı (MSS) destekliyor.
  • Motivasyon: Casusluk ve hassas sistemlere ve verilere uzun süreli erişim.
  • Operasyonel Odak: Zero-day istismarı, gizli malware implantları ve uç altyapıda kalıcılık.

UNC5221 Tarafından Hedeflenen Ülkeler

UNC5221'in mağduriyeti çeşitli bölgeleri kapsamaktadır:

  • Kuzey Amerika: Federal kurumlar ve altyapıdaki hedeflerle birlikte Amerika Birleşik Devletleri dahil.
  • Avrupa: Özellikle Birleşik Krallık ve müttefik hükümet organları.
  • Orta Doğu ve Asya-Pasifik: Suudi Arabistan ve diğer bölgesel enerji ve kamu sektörleri dahil.

UNC5221'in Hedeflediği Sektörler

UNC5221 öncelikle jeopolitik istihbarat öncelikleriyle uyumlu sektörleri hedeflemektedir:

  • Kritik Altyapı: Enerji, su ve doğal gaz sağlayıcıları.
  • Hükümet ve Savunma: Bakanlıklar, düzenleyici kurumlar ve orduya bağlı kuruluşlar.
  • Teknoloji ve İmalat: Tıbbi teknoloji, havacılık ve ileri imalat.
  • Finansal Kurumlar: Bankalar ve düzenleyici kurumlar.

Bilinen Kurbanlar

Çoğu kurbanın kimliği kamuya açıklanmamış olsa da Mandiant, UNC5221'in 2024'ün başlarında küresel olarak ondan az kuruluşun güvenliğini tehlikeye attığını bildirdi. Bu izinsiz girişler son derece hedefe yönelikti ve saldırganlar genellikle her kurban ortamı için implantları özelleştiriyordu.

Saldırı Yöntemi

Saldırı Aşamaları

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

VPN cihazlarındaki (örn. Ivanti, Citrix) zero-day ve n'inci gün güvenlik açıklarını istismar eder.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Sistem düzeyinde erişime sahip özel damlalıklı malware yükler.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

EDR ve SIEM tespitini atlamak için bellek içi yükler, günlük kurcalama ve trojanize ikili dosyalar kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Cihaz giriş sayfalarına gömülü keylogger'lar ve kimlik bilgisi hırsızları dağıtır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Dahili ağ topolojisini haritalamak için numaralandırma araçlarını ve özel komut dosyalarını yürütür.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Ağ segmentleri arasında hareket etmek için çalınan kimlik bilgilerinden ve SSH arka kapılarından yararlanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Trafiği izler ve hassas belgeleri veya kimlik bilgilerini çıkarır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Yükün yürütülmesi için Bash komut dosyalarını, Python yardımcı programlarını ve BusyBox komutlarını kullanır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Verileri şifrelenmiş SSH kanalları veya gömülü araçlar aracılığıyla tüneller.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Öncelikli olarak gizlilik ve sürekliliğe odaklanır, yıkıma değil. Amaç uzun vadeli casusluk.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

VPN cihazlarındaki (örn. Ivanti, Citrix) zero-day ve n'inci gün güvenlik açıklarını istismar eder.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Sistem düzeyinde erişime sahip özel damlalıklı malware yükler.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

EDR ve SIEM tespitini atlamak için bellek içi yükler, günlük kurcalama ve trojanize ikili dosyalar kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Cihaz giriş sayfalarına gömülü keylogger'lar ve kimlik bilgisi hırsızları dağıtır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Dahili ağ topolojisini haritalamak için numaralandırma araçlarını ve özel komut dosyalarını yürütür.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Ağ segmentleri arasında hareket etmek için çalınan kimlik bilgilerinden ve SSH arka kapılarından yararlanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Trafiği izler ve hassas belgeleri veya kimlik bilgilerini çıkarır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Yükün yürütülmesi için Bash komut dosyalarını, Python yardımcı programlarını ve BusyBox komutlarını kullanır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Verileri şifrelenmiş SSH kanalları veya gömülü araçlar aracılığıyla tüneller.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Öncelikli olarak gizlilik ve sürekliliğe odaklanır, yıkıma değil. Amaç uzun vadeli casusluk.

MITRE ATT&CK Haritalama

UNC5221 tarafından kullanılan TTP'ler

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1036
Masquerading
T1070
Indicator Removal
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1083
File and Directory Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1039
Data from Network Shared Drive
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.

Sıkça Sorulan Sorular