Çin bağlantılı olduğu değerlendirilen siber tehdit grubu UAT-7810’un, internet üzerinden erişilebilen ağ cihazlarını hedef alan yeni bir zararlı yazılım kullandığı ortaya çıktı. Cisco Talos tarafından paylaşılan araştırmaya göre grup, LONGLEASH adlı yeni aracıyla ORB altyapısını büyütmeye devam ediyor. Yeni zararlı yazılım, özellikle güncellenmemiş yönlendiricileri ele geçirerek saldırganların ağ trafiğini gizlemesine yardımcı oluyor.

LONGLEASH, Ele Geçirilen Ağ Cihazlarını Saldırı Ağına Dönüştürüyor

Cisco Talos’un yayımladığı teknik analiz, UAT-7810’un daha önce kullanılan SHORTLEASH arka kapısını geliştirerek LONGLEASH adlı yeni sürümü devreye aldığını gösteriyor. Araştırmacılara göre grup, ilk erişimi sağlamak için çoğunlukla daha önce bilinen güvenlik açıklarından yararlanıyor.

Saldırılarda en çok Ruckus yönlendiricilerindeki CVE-2020-22653, CVE-2020-22658 ve CVE-2023-25717 açıklarının kullanıldığı belirtilirken, ASUS AiCloud cihazlarını etkileyen CVE-2025-2492 güvenlik açığının da hedef alındığı ifade ediliyor. Güncelleme almamış cihazlar ele geçirildikten sonra saldırganlar bunları ORB ağı içinde ara istasyon olarak kullanabiliyor.

LONGLEASH, önceki sürüme kıyasla çok daha geniş yetenekler sunuyor. Zararlı yazılım; ters kabuk bağlantısı kurabiliyor, HTTP, DNS, SOCKS, TCP, ICMP ve UDP üzerinden vekil sunucu hizmeti sağlayabiliyor, SMTP istemcisi ve sunucusu olarak çalışabiliyor, TLS ile PKI desteği sunabiliyor ve şüpheli bir durum algıladığında kendisini sistemden silebiliyor. Ayrıca enfekte edilen cihazları komuta kontrol trafiğini yönlendiren ara sunuculara dönüştürebiliyor.

Yeni Zararlı Yazılımlar Da Aynı Operasyonda Kullanılıyor

Araştırmada yalnızca LONGLEASH değil, saldırı kampanyasında kullanılan başka araçlar da tespit edildi. Bunlardan biri olan DOGLEASH, Linux sistemleri hedef alan hafif bir arka kapı olarak çalışıyor. Web kabuğu üzerinden sisteme yerleştirilen bu yazılım, doğrulama sonrasında uzaktan komut çalıştırabiliyor, dosya işlemleri gerçekleştirebiliyor ve bellek üzerinde doğrudan kod çalıştırabiliyor.

Bir diğer araç olan JARLEASH ise Java tabanlı yönetim yazılımı olarak görev yapıyor. Dosya yönetimi sağlayan araç; FTP, SFTP ve Netcat sunucu işlevleriyle saldırganların ele geçirilen sistemleri daha kolay yönetmesine imkân tanıyor. LEASHTEST isimli yardımcı araç ise MIPS mimarisine sahip IoT cihazlarının zararlı yazılımı çalıştırmaya uygun olup olmadığını test etmek amacıyla kullanılıyor.

Cisco Talos, UAT-7810’un saldırı altyapısını sürekli geliştirdiğini ve yeni araçlarla ORB ağını büyütmeye devam ettiğini belirtiyor. Google Mandiant tarafından daha önce de belgelenen ORB yapısı, saldırganların bağlantılarını farklı ülkelerdeki ele geçirilmiş cihazlar üzerinden yönlendirmesine olanak tanıyor. Böylece saldırı trafiği yerel ağlardan geliyormuş gibi göründüğü için tespit edilmesi ve gerçek kaynağın belirlenmesi önemli ölçüde zorlaşıyor. Kurumlar için en etkili savunma yöntemlerinden biri ise internete açık ağ cihazlarını düzenli olarak güncellemek, bilinen güvenlik açıklarını hızla kapatmak ve olağan dışı ağ trafiğini sürekli izlemek olarak gösteriliyor.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.