İran Bağlantılı UNC1549 Hackerları Orta Doğu, Havacılık ve Savunma Sektörlerini Hedef Alıyor

Google'ın sahibi olduğu Mandiant, yeni bir analizde, siber casusluk faaliyetinin diğer hedeflerinin muhtemelen Türkiye, Hindistan ve Arnavutluk'u içerdiğini söyledi.

UNC1549'nin Smoke Sandstorm (önceden Bohrium) ve Crimson Sandstorm (önceden Curium) ile örtüştüğü söyleniyor, ikincisi Imperial Kitten, TA456, Tortoiseshell ve Yellow Liderc olarak da bilinen İslam Devrim Muhafızları Kolordusu'na (IRGC) bağlı bir grup.

Şirket, "Bu şüpheli UNC1549 faaliyeti en az Haziran 2022'den beri aktif ve Şubat 2024 itibariyle hala devam ediyor" dedi. "Doğası gereği bölgesel ve çoğunlukla Orta Doğu'ya odaklanmış olsa da, hedefleme dünya çapında faaliyet gösteren kuruluşları içeriyor."

Saldırılar, komuta ve kontrol (C2) için Microsoft Azure bulut altyapısının kullanılmasını ve MINIBIKE ve MINIBUS olarak adlandırılan iki arka kapı sunmak için işle ilgili tuzakları içeren sosyal mühendisliği içeriyor.

Hedef odaklı kimlik avı e-postaları, İsrail-Hamas ile ilgili içerik veya sahte iş teklifleri içeren sahte web sitelerine bağlantılar yaymak için tasarlanmıştır ve bu da kötü amaçlı bir yükün dağıtılmasına neden olur. Ayrıca, kimlik bilgilerini toplamak için büyük şirketleri taklit eden sahte giriş sayfaları da gözlemlendi.

Özel arka kapılar, C2 erişimi kurulduktan sonra, istihbarat toplama ve hedeflenen ağa daha fazla erişim için bir kanal görevi görür. Bu aşamada dağıtılan bir diğer araç da Azure bulutunu kullanarak iletişim kuran LIGHTRAIL adlı bir tünel yazılımıdır.

MINIBIKE, C++ tabanlıdır ve dosya sızdırma, yükleme ve komut yürütme yeteneğine sahipken, MINIBUS gelişmiş keşif özellikleriyle daha "sağlam bir halef" olarak hizmet eder.

Mandiant, "Bu varlıklar hakkında toplanan istihbarat, İran'ın stratejik çıkarlarıyla ilgilidir ve casusluk ve kinetik operasyonlar için kullanılabilir" dedi.

"Bu kampanyada uygulanan kaçınma yöntemleri, yani C2 için bulut altyapısının kullanımıyla birlikte özel iş temalı yemler, ağ savunucularının bu etkinliği önlemesini, tespit etmesini ve azaltmasını zorlaştırabilir."

CrowdStrike, 2024 Küresel Tehdit Raporu'nda, "İran devlet-bağ düşmanları ve kendilerini 'Filistin yanlısı' olarak damgalayan hacktivistlerle ilişkili sahtekarların, 2023'te kritik altyapıyı, İsrail hava mermisi uyarı sistemlerini ve bilgi operasyonu amaçlı faaliyetleri hedef almaya nasıl odaklandığını" açıkladı.

Bu, BiBi silici kötü amaçlı yazılımını serbest bırakan Banished Kitten ve İsrail'deki 20'den fazla şirketin endüstriyel kontrol sistemlerine (ICS) karşı veri silme faaliyeti olduğunu iddia eden Moses Staff'ın takma adı olan Vengeful Kitten'ı içerir.

Bununla birlikte, Hamas bağlantılı düşmanlar, siber güvenlik firmasının bölgedeki olası güç ve internet kesintilerine atfettiği çatışmayla ilgili faaliyetlerde gözle görülür şekilde yok.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği