Siber Muhbir

Microsoft Tehdit İstihbaratı ekibi çarşamba günü yaptığı bir analizde, tehdit aktörünün "hedefleri kötü amaçlı dosyaları indirmeleri için sosyal mühendislik yapmak amacıyla ısmarlama kimlik avı tuzakları kullandığını" söyledi ve bunu "Mint Sandstorm'un teknik ve operasyonel olarak olgun bir alt grubu" olarak nitelendirdi.

Saldırılar, belirli durumlarda, daha önce belgelenmemiş MediaPl adlı bir arka kapının kullanımını içeriyor ve bu, İranlı tehdit aktörlerinin izinsiz giriş sonrası ticaretlerini iyileştirme çabalarının devam ettiğini gösteriyor.

APT35, Charming Kitten, TA453 ve Yellow Garuda olarak da bilinen Mint Sandstorm, usta sosyal mühendislik kampanyalarıyla tanınır, hatta potansiyel hedeflere ısmarlama kimlik avı e-postaları göndermek için meşru ancak güvenliği ihlal edilmiş hesaplara başvurur. İran Devrim Muhafızları'na (IRGC) bağlı olduğu değerlendiriliyor.

Redmond'a göre alt küme, gazetecileri, araştırmacıları, profesörleri ve Tahran'ı ilgilendiren güvenlik ve politika konularında içgörüleri olan diğer bireyleri ayırmak için kaynak yoğun sosyal mühendislikle uğraşıyor.

En son izinsiz giriş seti, İsrail-Hamas savaşıyla ilgili tuzakların kullanılması, gazetecilerin ve diğer yüksek profilli kişilerin kisvesi altında masum e-postalar göndererek hedeflerle yakınlık kurması ve hedeflere kötü amaçlı yazılım göndermeye çalışmadan önce bir güven düzeyi oluşturması ile karakterize edilir.

Microsoft, kampanyanın ulus devlet tehdit aktörü tarafından savaşla ilgili olaylara ilişkin bakış açıları toplamak için üstlenilen bir çaba olduğunu söyledi.

E-posta mesajlarını göndermek için kimliğine bürünmeye çalıştıkları kişilere ait ihlal edilmiş hesapların kullanılması, komuta ve kontrol (C2) altyapısına bağlanmak için curl komutunun kullanılması gibi, daha önce görülmemiş yeni bir Mint Sandstorm taktiğidir.

Hedeflerin tehdit aktörüyle etkileşime girmesi durumunda, bir RAR arşiv dosyasına işaret eden kötü amaçlı bir bağlantı içeren bir takip e-postası gönderilir ve bu e-posta, açıldığında hedeflerin ortamlarında kalıcı olması için C2 sunucusundan Visual Basic komut dosyalarının alınmasına yol açar.

Saldırı zincirleri, ilki ilk olarak Ekim 2023'te Microsoft tarafından açıklanan MischiefTut veya MediaPl gibi özel implantların önünü açıyor.

PowerShell'de uygulanan MischiefTut, keşif komutlarını çalıştırabilen, çıktıları bir metin dosyasına yazabilen ve güvenliği ihlal edilmiş bir sistemde ek araçlar indirebilen temel bir arka kapıdır. Kötü amaçlı yazılımın kaydedilen ilk kullanımı 2022'nin sonlarına kadar uzanıyor.

MediaPl ise Windows Media Player kılığına girer ve şifreli iletişimleri C2 sunucusuna iletmek ve sunucudan aldığı komutları başlatmak için tasarlanmıştır.

Microsoft, "Mint Sandstorm, hedeflerin ortamlarında kullanılan araçları, grubun güvenliği ihlal edilmiş bir ortamda devam etmesine ve tespit edilmekten daha iyi kaçmasına yardımcı olabilecek etkinlikleri geliştirmeye ve değiştirmeye devam ediyor" dedi.

"Bir hedefin sistemine uzaktan erişim sağlama ve sürdürme yeteneği, Mint Sandstorm'un bir sistemin gizliliğini olumsuz yönde etkileyebilecek bir dizi faaliyet yürütmesini sağlayabilir."

Açıklama, Hollanda gazetesi De Volkskrant'ın bu ayın başlarında, İsrail ve ABD istihbarat servisleri tarafından işe alınan Hollandalı bir mühendis olan Erik van Sabben'in, 2007'de bir İran nükleer tesisinde şu anda kötü şöhretli Stuxnet kötü amaçlı yazılımının erken bir varyantını dağıtmak için bir su pompası kullanmış olabileceğini ortaya çıkarmasıyla geldi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.