İran Ulus Devlet Aktörü OilRig İsrailli Kuruluşları Hedef Aldı
İsrailli örgütler, 2021 ve 2022'de OilRig olarak bilinen İran ulus devlet aktörü tarafından düzenlenen iki farklı kampanyanın parçası olarak hedef alındı.
İsrailli örgütler, 2021 ve 2022'de OilRig olarak bilinen İran ulus devlet aktörü tarafından düzenlenen iki farklı kampanyanın parçası olarak hedef alındı.
Outer Space ve Juicy Mix olarak adlandırılan kampanyalar, büyük tarayıcılardan ve Windows Kimlik Bilgileri Yöneticisi'nden hassas bilgiler toplamak için konuşlandırılan, Solar ve Mango adlı daha önce belgelenmiş iki birinci aşama arka kapının kullanılmasını gerektiriyordu.
ESET güvenlik araştırmacısı Zuzana Hromcová Perşembe günü yaptığı bir analizde, "Her iki arka kapı da muhtemelen hedef odaklı kimlik avı e-postaları yoluyla yayılan VBS damlalıkları tarafından dağıtıldı" dedi.
OilRig (diğer adıyla APT34, Cobalt Gypsy, Hazel Sandstorm ve Helix Kitten), İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı bir izinsiz giriş setine verilen addır. 2014'ten beri aktif olan tehdit aktörü, bilgi hırsızlığı gerçekleştirmek için elindeki çok çeşitli araçları kullandı.
Bu Şubat ayının başlarında Trend Micro, OilRig'in kullanıcıların kimlik bilgilerini çalmak için basit bir arka kapı kullandığını keşfetti ve "araştırılan müşteri ortamlarına ve erişim seviyelerine dayalı olarak yeni kötü amaçlı yazılım yazma esnekliğini" vurguladı.
Grubun ayrıca, muhtemelen ABD'li işletmeleri hedef alan bir kimlik avı saldırısının parçası olarak SideTwist'in güncellenmiş bir sürümünü sunduğu gözlemlendi.
Bununla birlikte, Mango kötü amaçlı yazılımının kullanımı daha önce Mayıs 2023'te hem ESET hem de Microsoft tarafından vurgulanmış ve ikincisi bunu Storm-0133 adı altında izlediği gelişmekte olan bir etkinlik kümesine atfetmişti.
Windows üreticisi, MOIS ile de ilişkili olan Storm-0133'ün yalnızca İsrail yerel hükümet kurumlarını ve savunma, konaklama ve sağlık sektörlerine hizmet veren şirketleri hedef aldığını söyledi.
Slovak siber güvenlik firmasının en son bulguları, grubun İsrail'e odaklanmaya devam ettiğini ve potansiyel hedefleri bubi tuzaklı ekler aracılığıyla kötü amaçlı yazılımı yüklemeleri için kandırmak için hedef odaklı kimlik avı tuzakları kullandığını ortaya koyuyor.
2021'de gözlemlenen Outer Space kampanyasında OilRig, bir İsrail insan kaynakları sitesini tehlikeye attı ve ardından onu, dosyaları indirip yürütebilen ve bilgi toplayabilen temel bir C#/.NET arka kapısı olan Solar için bir komuta ve kontrol (C2) sunucusu olarak kullandı.
Solar ayrıca, yürütme için ek araçlar indirmek için Office Exchange Web Services (EWS) API'sini kullanan SampleCheck5000 (veya SC5k) adlı bir indiriciyi ve ayrıca MKG olarak adlandırılan Chrome web tarayıcısından veri sızdırmak için bir yardımcı programı dağıtmak için bir araç görevi görür.
Hromcová, "SC5k uzak Exchange sunucusunda oturum açtığında, Taslaklar dizinindeki tüm e-postaları alır, bunları en yeniye göre sıralar ve yalnızca ekleri olan taslakları tutar" dedi.
"Ardından, bir eki olan her taslak iletiyi yineler ve gövdede "veri" içeren JSON eklerini arar. JSON dosyasındaki anahtar verilerden değeri ayıklar, base64 değerin kodunu çözer ve şifresini çözer ve elde edilen komut satırı dizesini yürütmek için cmd.exe'yi çağırır."
Komut yürütmenin sonuçları hazırlanır ve Exchange sunucusunda yeni bir e-posta mesajı aracılığıyla operatörlere geri gönderilir ve taslak olarak kaydedilir.
2022'deki Juicy Mix kampanyası, Solar'ın ek yetenekler ve şaşırtma yöntemleri içeren geliştirilmiş bir versiyonu olan Mango'nun kullanımını içeriyordu. C2 amaçları doğrultusunda, tehdit aktörü meşru bir İsrail iş portalı web sitesini tehlikeye attı.
Hromcová, "OilRig, uzak sistemlerde komutları yürütmenin yeni yollarını bulurken, arka kapı benzeri yeteneklere sahip yeni implantlar geliştirmeye ve oluşturmaya devam ediyor" dedi.
"Grup, büyük tarayıcılardan ve Windows Kimlik Bilgileri Yöneticisi'nden kimlik bilgilerini, tanımlama bilgilerini ve tarama geçmişini toplamak için kullanılan bir dizi özel güvenlik ihlali sonrası araç dağıtıyor."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı