İran Bağlantılı UNC1549 Hackerları Orta Doğu, Havacılık ve Savunma Sektörlerini Hedef Alıyor
UNC1549 olarak bilinen İran-bağlantı tehdidi aktörü, İsrail ve BAE de dahil olmak üzere Orta Doğu'daki uzay, havacılık ve savunma endüstrilerini hedef alan yeni bir dizi saldırıya orta düzeyde güvenle atfedildi.
Google'ın sahibi olduğu Mandiant, yeni bir analizde, siber casusluk faaliyetinin diğer hedeflerinin muhtemelen Türkiye, Hindistan ve Arnavutluk'u içerdiğini söyledi.
UNC1549'nin Smoke Sandstorm (önceden Bohrium) ve Crimson Sandstorm (önceden Curium) ile örtüştüğü söyleniyor, ikincisi Imperial Kitten, TA456, Tortoiseshell ve Yellow Liderc olarak da bilinen İslam Devrim Muhafızları Kolordusu'na (IRGC) bağlı bir grup.
Şirket, "Bu şüpheli UNC1549 faaliyeti en az Haziran 2022'den beri aktif ve Şubat 2024 itibariyle hala devam ediyor" dedi. "Doğası gereği bölgesel ve çoğunlukla Orta Doğu'ya odaklanmış olsa da, hedefleme dünya çapında faaliyet gösteren kuruluşları içeriyor."
Saldırılar, komuta ve kontrol (C2) için Microsoft Azure bulut altyapısının kullanılmasını ve MINIBIKE ve MINIBUS olarak adlandırılan iki arka kapı sunmak için işle ilgili tuzakları içeren sosyal mühendisliği içeriyor.
Hedef odaklı kimlik avı e-postaları, İsrail-Hamas ile ilgili içerik veya sahte iş teklifleri içeren sahte web sitelerine bağlantılar yaymak için tasarlanmıştır ve bu da kötü amaçlı bir yükün dağıtılmasına neden olur. Ayrıca, kimlik bilgilerini toplamak için büyük şirketleri taklit eden sahte giriş sayfaları da gözlemlendi.
Özel arka kapılar, C2 erişimi kurulduktan sonra, istihbarat toplama ve hedeflenen ağa daha fazla erişim için bir kanal görevi görür. Bu aşamada dağıtılan bir diğer araç da Azure bulutunu kullanarak iletişim kuran LIGHTRAIL adlı bir tünel yazılımıdır.
MINIBIKE, C++ tabanlıdır ve dosya sızdırma, yükleme ve komut yürütme yeteneğine sahipken, MINIBUS gelişmiş keşif özellikleriyle daha "sağlam bir halef" olarak hizmet eder.
Mandiant, "Bu varlıklar hakkında toplanan istihbarat, İran'ın stratejik çıkarlarıyla ilgilidir ve casusluk ve kinetik operasyonlar için kullanılabilir" dedi.
"Bu kampanyada uygulanan kaçınma yöntemleri, yani C2 için bulut altyapısının kullanımıyla birlikte özel iş temalı yemler, ağ savunucularının bu etkinliği önlemesini, tespit etmesini ve azaltmasını zorlaştırabilir."
CrowdStrike, 2024 Küresel Tehdit Raporu'nda, "İran devlet-bağ düşmanları ve kendilerini 'Filistin yanlısı' olarak damgalayan hacktivistlerle ilişkili sahtekarların, 2023'te kritik altyapıyı, İsrail hava mermisi uyarı sistemlerini ve bilgi operasyonu amaçlı faaliyetleri hedef almaya nasıl odaklandığını" açıkladı.
Bu, BiBi silici kötü amaçlı yazılımını serbest bırakan Banished Kitten ve İsrail'deki 20'den fazla şirketin endüstriyel kontrol sistemlerine (ICS) karşı veri silme faaliyeti olduğunu iddia eden Moses Staff'ın takma adı olan Vengeful Kitten'ı içerir.
Bununla birlikte, Hamas bağlantılı düşmanlar, siber güvenlik firmasının bölgedeki olası güç ve internet kesintilerine atfettiği çatışmayla ilgili faaliyetlerde gözle görülür şekilde yok.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı