İran Siber Casusluk Grubu Orta Doğu'daki Finans ve Devlet Sektörlerini Hedef Alıyor
İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı bir tehdit aktörünün en az bir yıldır Orta Doğu'daki finans, hükümet, askeri ve telekomünikasyon sektörlerini hedef alan karmaşık bir siber casusluk kampanyası yürüttüğü gözlemlendi.
Kampanyayı Sygnia ile birlikte keşfeden İsrailli siber güvenlik firması Check Point, aktörü, geçen yıl Arnavutluk hükümetine yönelik yıkıcı saldırılarla bağlantılı dört İranlı gruptan biri olan Storm-0861 adlı yeni bir kümeyle yakından örtüştüğü söylenen Scarred Manticore adı altında takip ediyor.
Operasyonun kurbanları Suudi Arabistan, Birleşik Arap Emirlikleri, Ürdün, Kuveyt, Umman, Irak ve İsrail gibi çeşitli ülkeleri kapsıyor.
Scarred Manticore ayrıca, sekiz aylık bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında isimsiz bir Orta Doğu hükümetine yapılan saldırıya atfedilen başka bir İran ulus devlet ekibi olan OilRig ile bir dereceye kadar örtüşme sergiliyor.
Düşman ile Cisco Talos tarafından ShroudedSnooper kod adlı bir izinsiz giriş seti arasında başka bir taktiksel örtüşme seti keşfedildi. Tehdit aktörü tarafından düzenlenen saldırı zincirleri, HTTPSnoop olarak bilinen gizli bir arka kapı kullanarak Orta Doğu'daki telekom sağlayıcılarını seçti.
Scarred Manticore tarafından temsil edilen etkinlik, Windows sunucularına yüklenen LIONTAIL olarak adlandırılan önceden bilinmeyen pasif bir kötü amaçlı yazılım çerçevesinin kullanılmasıyla karakterize edilir. Tehdit aktörünün en az 2019'dan beri aktif olduğuna inanılıyor.
Check Point araştırmacıları Salı günü yaptıkları bir analizde, "Scarred Manticore, Windows sunucularına saldırmak için çeşitli IIS tabanlı arka kapılar kullanarak yıllardır yüksek değerli hedefler peşinde koşuyor" dedi. "Bunlar arasında çeşitli özel web kabukları, özel DLL arka kapıları ve sürücü tabanlı implantlar yer alıyor."
Gelişmiş bir kötü amaçlı yazılım parçası olan LIONTAIL, özel kabuk kodu yükleyicileri ve bellekte yerleşik kabuk kodu yüklerinden oluşan bir koleksiyondur. Çerçevenin dikkate değer bir bileşeni, saldırganların HTTP istekleri aracılığıyla komutları uzaktan yürütmesini sağlayan C ile yazılmış hafif ancak karmaşık bir implanttır.
Saldırı dizileri, kötü amaçlı yazılım teslim sürecini başlatmak ve virüslü ana bilgisayarlardan hassas verileri sistematik olarak toplamak için herkese açık Windows sunucularına sızmayı gerektirir.
Araştırmacılar, "HTTP API'sini kullanmak yerine, kötü amaçlı yazılım, temel HTTP.sys sürücüsüyle doğrudan etkileşim kurmak için IOCTL'leri kullanıyor" dedi ve komuta ve kontrol (C2) mekanizmasını detaylandırdı.
"Bu yaklaşım, genellikle güvenlik çözümleri tarafından yakından izlenen IIS veya HTTP API'sini içermediği için daha gizlidir, ancak HTTP.sys için IOCTL'lerin belgelenmemiş olduğu ve tehdit aktörleri tarafından ek araştırma çabaları gerektirdiği göz önüne alındığında basit bir görev değildir."
Bu aşamada, gelen HTTP trafiğinden yükleri çıkarmak için HTTP.sys sürücüsünün kullanılması nedeniyle LIONTAIL çerçevesinin arka kapı bileşeninin HTTPSnoop ile aynı olduğunu belirtmekte fayda var.
Teknik açıdan bakıldığında, operasyonun ilgi çekici bir yönü, tehdit aktörünün, güvenliği ihlal edilmiş her sunucu için özel olarak hazırlanmış bir implant kullanması, kötü niyetli faaliyetlerin kurban ortamına karışmasına ve şüpheli ve meşru ağ trafiği arasında ayrım yapmayı zorlaştırmasına izin vermesidir.
Ayrıca LIONTAIL ile birlikte konuşlandırılan çeşitli web kabukları ve bir web ileticisi olan LIONHEAD adlı bir web yönlendirme aracı içerir.
Scarred Manticore'un tarihsel etkinliği, tehdit aktörünün daha önce Tunna gibi web kabuklarına ve arka kapı erişimi için FOXSHELL adlı ısmarlama bir sürüme güvendiği gibi, grubun kötü amaçlı yazılım cephaneliğinin sürekli bir evrimini gösteriyor.
2020'nin ortalarından bu yana, tehdit aktörünün de bir . Rasgele komutlar yürütmek, dosyaları karşıya yüklemek ve indirmek ve ek .NET derlemeleri çalıştırmak amacıyla virüslü makinede bir HTTP dinleyicisi aracılığıyla C2 iletişimi kuran SDD adlı NET tabanlı pasif arka kapı.
Tehdit aktörünün taktiklerine ve araçlarına yönelik aşamalı güncellemeler, gelişmiş kalıcı tehdit (APT) gruplarına özgüdür ve kaynaklarını ve çeşitli becerilerini gösterir. Bunun en iyi örneği, Scarred Manticore'un bu Mayıs ayının başlarında Fortinet tarafından ortaya çıkarılan WINTAPIX adlı kötü amaçlı bir çekirdek sürücüsünü kullanmasıdır.
Özetle, WinTapix.sys, saldırının bir sonraki aşamasını yürütmek için bir yükleyici görevi görür ve uygun bir kullanıcı modu işlemine gömülü bir kabuk kodu enjekte eder ve bu da Microsoft Internet Information Services (IIS) sunucularını hedeflemek için özel olarak tasarlanmış şifreli bir .NET yükünü yürütür.
İsrail'in hedef alınması, devam eden İsrail-Hamas savaşının ortasında geliyor ve düşük sofistike hacktivist grupların ülkedeki çeşitli örgütlerin yanı sıra Hindistan ve Kenya gibi ülkelere saldırmasına neden oluyor ve ulus devlet aktörlerinin çatışmanın küresel algısını etkilemeyi amaçlayan bilgi operasyonlarına güvendiğini gösteriyor.
ABD Federal Soruşturma Bürosu (FBI), bu hafta başlarında Senato İç Güvenlik ve Devlet İşleri Komitesi'ne (HSGAC) yaptığı açıklamada, durumun İran ve devlet dışı aktörler tarafından "Amerikan çıkarlarının ve kritik altyapının siber olarak hedef alınmasını" daha da kötüleştirme potansiyeline sahip olduğu konusunda uyardı.
Check Point, "LIONTAIL çerçeve bileşenleri, FOXSHELL, SDD arka kapısı ve WINTAPIX sürücüleriyle benzer gizleme ve dize yapılarını paylaşıyor" dedi.
"Faaliyetlerinin geçmişi incelendiğinde, tehdit aktörünün saldırılarını iyileştirmede ve pasif implantlara dayanan yaklaşımlarını geliştirmede ne kadar ilerlediği ortaya çıkıyor."
Benzer Haberler
DigiCert, Alan Adı Doğrulama Gözetimi Nedeniyle 83,000+ SSL Sertifikasını İptal Edecek
Sahibinden.com alan adını yenilemeyi mi unuttu?
Toyota Almanya, Fidye Yazılımı Saldırısında Müşteri Verilerinin Çalındığını Söyledi
Yeni Bluetooth Kusuru, Bilgisayar Korsanlarının Android, Linux, macOS ve iOS Cihazlarını Ele Geçirmesine İzin Veriyor
Microsoft, Büyük Güvenlik Sarsıntısında Yeni CISO'yu İşe Aldı
K. Koreli Bilgisayar Korsanları, Tespit Edilmekten Kaçınmak için macOS Kötü Amaçlı Yazılım Taktiklerini 'Karıştırıyor'
Biden CISO Arıyor
SideCopy, Hindistan Devlet Kurumlarını Hedef Alan Saldırılarda WinRAR Kusurundan Yararlanıyor