UNC5221
UNC5221, dünya çapında hükümet, savunma, kritik altyapı ve yüksek değerli işletmelere sızmak için özel malware ve kalıcılık teknikleri kullanan, internete dönük cihazların istismarı konusunda uzmanlaşmış, Çin devlet destekli bir casusluk grubudur.

UNC5221'in Kökeni
UNC5221, ilk olarak 2023'ün sonlarında Mandiant tarafından kamuya açık olarak tanımlanan, Çin devlet destekli bir Gelişmiş Kalıcı Tehdit (APT) grubudur. Grup, internete dönük altyapıya, özellikle de VPN cihazlarına ve uç cihazlara odaklanan yüksek hedefli casusluk kampanyalarıyla tanınmaktadır. UNC5221, kalıcı erişimi sürdürme, veri sızdırma ve ağ gözetimi dahil olmak üzere uzun vadeli stratejik hedeflerle tutarlı bir karmaşıklık düzeyinde faaliyet göstermektedir.
- İlişkilendirme: Çin bağlantılı siber casusluk operasyonlarıyla bağlantılı, muhtemelen Devlet Güvenlik Bakanlığı'nı (MSS) destekliyor.
- Motivasyon: Casusluk ve hassas sistemlere ve verilere uzun süreli erişim.
- Operasyonel Odak: Zero-day istismarı, gizli malware implantları ve uç altyapıda kalıcılık.
UNC5221 Tarafından Hedeflenen Ülkeler
UNC5221'in mağduriyeti çeşitli bölgeleri kapsamaktadır:
- Kuzey Amerika: Federal kurumlar ve altyapıdaki hedeflerle birlikte Amerika Birleşik Devletleri dahil.
- Avrupa: Özellikle Birleşik Krallık ve müttefik hükümet organları.
- Orta Doğu ve Asya-Pasifik: Suudi Arabistan ve diğer bölgesel enerji ve kamu sektörleri dahil.
UNC5221'in Hedeflediği Sektörler
UNC5221 öncelikle jeopolitik istihbarat öncelikleriyle uyumlu sektörleri hedeflemektedir:
- Kritik Altyapı: Enerji, su ve doğal gaz sağlayıcıları.
- Hükümet ve Savunma: Bakanlıklar, düzenleyici kurumlar ve orduya bağlı kuruluşlar.
- Teknoloji ve İmalat: Tıbbi teknoloji, havacılık ve ileri imalat.
- Finansal Kurumlar: Bankalar ve düzenleyici kurumlar.
Bilinen Kurbanlar
Saldırı Aşamaları

VPN cihazlarındaki (örn. Ivanti, Citrix) zero-day ve n'inci gün güvenlik açıklarını istismar eder.

Sistem düzeyinde erişime sahip özel damlalıklı malware yükler.

EDR ve SIEM tespitini atlamak için bellek içi yükler, günlük kurcalama ve trojanize ikili dosyalar kullanır.

Cihaz giriş sayfalarına gömülü keylogger'lar ve kimlik bilgisi hırsızları dağıtır.

Dahili ağ topolojisini haritalamak için numaralandırma araçlarını ve özel komut dosyalarını yürütür.

Ağ segmentleri arasında hareket etmek için çalınan kimlik bilgilerinden ve SSH arka kapılarından yararlanır.

Trafiği izler ve hassas belgeleri veya kimlik bilgilerini çıkarır.

Yükün yürütülmesi için Bash komut dosyalarını, Python yardımcı programlarını ve BusyBox komutlarını kullanır.

Verileri şifrelenmiş SSH kanalları veya gömülü araçlar aracılığıyla tüneller.

Öncelikli olarak gizlilik ve sürekliliğe odaklanır, yıkıma değil. Amaç uzun vadeli casusluk.

VPN cihazlarındaki (örn. Ivanti, Citrix) zero-day ve n'inci gün güvenlik açıklarını istismar eder.

Sistem düzeyinde erişime sahip özel damlalıklı malware yükler.

EDR ve SIEM tespitini atlamak için bellek içi yükler, günlük kurcalama ve trojanize ikili dosyalar kullanır.

Cihaz giriş sayfalarına gömülü keylogger'lar ve kimlik bilgisi hırsızları dağıtır.

Dahili ağ topolojisini haritalamak için numaralandırma araçlarını ve özel komut dosyalarını yürütür.

Ağ segmentleri arasında hareket etmek için çalınan kimlik bilgilerinden ve SSH arka kapılarından yararlanır.

Trafiği izler ve hassas belgeleri veya kimlik bilgilerini çıkarır.

Yükün yürütülmesi için Bash komut dosyalarını, Python yardımcı programlarını ve BusyBox komutlarını kullanır.

Verileri şifrelenmiş SSH kanalları veya gömülü araçlar aracılığıyla tüneller.

Öncelikli olarak gizlilik ve sürekliliğe odaklanır, yıkıma değil. Amaç uzun vadeli casusluk.