IronWind Kötü Amaçlı Yazılımıyla Orta Doğu Hükümetlerini Hedefliyor
Orta Doğu'daki devlet kurumları, IronWind adlı yeni bir ilk erişim indiricisi sunmak için tasarlanmış yeni kimlik avı saldırılarının hedefidir.
Temmuz ve Ekim 2023 arasında tespit edilen etkinlik, Proofpoint tarafından Molerats, Gazze Siber Çetesi olarak da bilinen ve APT-C-23 (diğer adıyla Arid Viper) olarak bilinen Hamas yanlısı bir bilgisayar korsanlığı ekibiyle taktiksel örtüşmeler paylaşan TA402 adı altında takip ettiği bir tehdit aktörüne atfedildi.
Proofpoint'in kıdemli tehdit araştırmacısı Joshua Miller, yaptığı bir açıklamada, "Devlete bağlı tehdit aktörleri söz konusu olduğunda, Kuzey Kore, Rusya, Çin ve İran genellikle aslan payını alıyor" dedi.
"Ancak, tarihsel olarak Filistin Toprakları'nın çıkarları doğrultusunda faaliyet gösteren bir Orta Doğu gelişmiş kalıcı tehdit (APT) grubu olan TA402, istihbarat toplamaya odaklanarak son derece karmaşık siber casusluk yapabilen ilgi çekici bir tehdit aktörü olduğunu sürekli olarak kanıtladı."
IronWind'in kullanımıyla aynı zamana denk gelen, IronWind'i dağıtmak için Dropbox bağlantılarını, XLL dosya eklerini ve RAR arşivlerini kullanan kötü amaçlı yazılım dağıtım mekanizmalarında tutarlı güncellemelerdir.
IronWind'in kullanımı, Orta Doğu hükümetlerini ve dış politika düşünce kuruluşlarını hedef alan saldırılarda NimbleMamba kod adlı bir arka kapının yayılmasıyla bağlantılı olan önceki saldırı zincirlerinden bir değişimdir.
TA402'nin en son kampanyaları, IronWind'in dağıtımını kolaylaştıran Dropbox bağlantılarına işaret eden kimlik avı tuzakları göndermek için Dışişleri Bakanlığı'na ait güvenliği ihlal edilmiş bir e-posta hesabının kullanılmasıyla karakterize edilir.
İndirici, çok aşamalı bir diziyi takiben SharpSploit adlı bir istismar sonrası araç seti de dahil olmak üzere ek yükler almak için saldırgan tarafından kontrol edilen bir sunucuyla iletişim kurmak üzere tasarlanmıştır.
Ağustos ve Ekim 2023'teki müteakip sosyal mühendislik kampanyalarının, IronWind'in dağıtımını tetiklemek için e-posta mesajlarına gömülü XLL dosyası ve RAR arşiv eklerinden yararlandığı tespit edildi. Grup tarafından kullanılan bir diğer dikkate değer taktik, tespit çabalarını karmaşıklaştırmak için coğrafi sınırlama tekniklerine güvenmektir.
Miller, "Orta Doğu'da devam eden çatışma, tespit çabalarını atlamak için yeni ve akıllı dağıtım yöntemlerini yinelemeye ve kullanmaya devam ettikleri için devam eden operasyonlarını engellemiş görünmüyor" dedi.
"Karmaşık enfeksiyon zincirlerini kullanan ve hedeflerine saldırmak için yeni kötü amaçlı yazılımlar üreten TA402, Orta Doğu ve Kuzey Afrika'da bulunan devlet kurumlarına güçlü bir şekilde odaklanarak son derece hedefli faaliyetlerde bulunmaya devam ediyor."
Gelişme, Cisco Talos'un siber suçluların e-posta göndermek ve ayrıntılı kripto para dolandırıcılığı düzenlemek için Google Formlar sınavlarının "Sürüm puanları" özelliğinden yararlandığını ve tehdit aktörlerinin hedeflerine ulaşmak için başvurdukları yaratıcı yolları vurguladığını ortaya çıkarmasıyla geldi.
Güvenlik araştırmacısı Jaeson Schultz geçen hafta yaptığı açıklamada, "E-postalar Google'ın kendi sunucularından geliyor ve sonuç olarak anti-spam korumalarını atlamak ve kurbanın gelen kutusunu bulmak daha kolay olabilir" dedi.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı