İranlı Hackerlar Yeni BASICSTAR Arka Kapısı ile Orta Doğu Politika Uzmanlarını Hedef Aldı

APT35, CharmingCypress, Mint Sandstorm, TA453 ve Yellow Garuda olarak da adlandırılan Charming Kitten, hedeflemelerinde geniş bir ağ oluşturan, genellikle düşünce kuruluşlarını, STK'ları ve gazetecileri seçen çok çeşitli sosyal mühendislik kampanyaları düzenleme geçmişine sahiptir.

Volexity araştırmacıları Ankur Saini, Callum Roxan, Charlie Gardner ve Damien Cash, "CharmingCypress, kötü amaçlı içeriğe bağlantılar göndermeden önce e-posta üzerinden uzun süreli konuşmalarda hedeflerle etkileşim kurmak gibi genellikle olağandışı sosyal mühendislik taktikleri kullanır" dedi.

Geçen ay Microsoft, Orta Doğu meseleleri üzerinde çalışan yüksek profilli kişilerin, güvenliği ihlal edilmiş bir ana bilgisayardan hassas bilgileri toplayabilen MischiefTut ve MediaPl (diğer adıyla EYEGLASS) gibi kötü amaçlı yazılımları dağıtmak için düşman tarafından hedef alındığını açıkladı.

İran Devrim Muhafızları'na (IRGC) bağlı olduğu değerlendirilen grup, geçtiğimiz yıl boyunca PowerLess, BellaCiao, POWERSTAR (diğer adıyla GorjolEcho) ve NokNok gibi diğer birçok arka kapıyı da dağıttı ve siber saldırısını sürdürme kararlılığını vurguladı.

Eylül ve Ekim 2023 arasında gözlemlenen kimlik avı saldırıları, Rasanah Uluslararası İran Araştırmaları Enstitüsü (IIIS) gibi davranan Charming Kitten operatörlerinin hedefleri başlatmak ve onlarla güven inşa etmesini içeriyordu.

Kimlik avı girişimleri, meşru kişilere ait güvenliği ihlal edilmiş e-posta hesaplarının ve tehdit aktörü tarafından kontrol edilen birden çok e-posta hesabının kullanılmasıyla da karakterize edilir, bunlardan ikincisi Çoklu Kişiliğe Bürünme (MPI) olarak adlandırılır.

Saldırı zincirleri, kötü amaçlı yazılımları dağıtmak için bir başlangıç noktası olarak tipik olarak LNK dosyalarını içeren RAR arşivlerini kullanır ve mesajlar, potansiyel hedefleri ilgilerini çeken konular hakkında sahte bir web seminerine katılmaya çağırır. Böyle çok aşamalı bir enfeksiyon dizisinin, bir PowerShell indirici betiği olan BASICSTAR ve KORKULOADER'ı dağıttığı gözlemlendi.

Bir Visual Basic Script (VBS) kötü amaçlı yazılımı olan BASICSTAR, temel sistem bilgilerini toplayabilir, bir komut ve kontrol (C2) sunucusundan aktarılan komutları uzaktan yürütebilir ve sahte bir PDF dosyası indirip görüntüleyebilir.

Dahası, bu kimlik avı saldırılarından bazıları, makinenin işletim sistemine bağlı olarak farklı arka kapılara hizmet edecek şekilde tasarlanmıştır. Windows kurbanları POWERLESS ile tehlikeye atılırken, Apple macOS kurbanları, kötü amaçlı yazılımlarla dolu işlevsel bir VPN uygulaması aracılığıyla NokNok ile sonuçlanan bir enfeksiyon zinciriyle hedefleniyor.

Araştırmacılar, "Bu tehdit aktörü, onları en iyi nasıl manipüle edeceğini ve kötü amaçlı yazılımları nasıl dağıtacağını belirlemek için hedefleri üzerinde gözetim yapmaya son derece kararlıdır" dedi. "Ek olarak, diğer birkaç tehdit aktörü sürekli olarak CharmingCypress kadar çok kampanya başlattı ve insan operatörleri devam eden çabalarını desteklemeye adadı."

Açıklama, Recorded Future'ın Devrim Muhafızları'nın Irak, Suriye ve Lübnan gibi ülkelere gözetleme ve saldırı amaçlı teknoloji ihracatı konusunda uzmanlaşmış bir müteahhitlik şirketleri ağı kullanarak Batılı ülkeleri hedef aldığını ortaya çıkarmasıyla geldi.

İstihbarat ve askeri örgütler ile İran merkezli müteahhitler arasındaki ilişki, sponsor kuruluşu gizlemek için "güvenlik duvarı" görevi gören çeşitli siber merkezler şeklini alıyor.

Bunlar arasında Ayandeh Sazan Sepher Aria (Emennet Pasargad ile ilişkili olduğundan şüpheleniliyor), DSP Araştırma Enstitüsü, Sabrin Kish, Soroush Saman, Mahak Rayan Afraz ve Parnian Telekomünikasyon ve Elektronik Şirketi yer alıyor.

Şirket, "İranlı müteahhitlik şirketleri, bazı durumlarda müteahhitleri yönetim kurulu üyesi olarak temsil eden sıkı sıkıya bağlı bir personel ağı tarafından kuruluyor ve yönetiliyor" dedi. "Bireyler Devrim Muhafızları ile yakından ilişkilidir ve bazı durumlarda yaptırım uygulanan kuruluşların (Devrim Muhafızları Kooperatif Vakfı gibi) temsilcileridir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği