İranlı Hackerlar ABD’li Araştırma Firmasını Hedef Aldı

Siber güvenlik firması Intezer, İran’la bağlantılı bir tehdit grubunun, hizmetleri işletmeler ve devlet kuruluşları tarafından kullanılan ABD merkezli bir araştırma şirketini hedef aldığını ortaya çıkardı.

Saldırı, en az 2014 yılından bu yana faaliyet gösteren ve devlet kurumlarının yanı sıra dünya çapında finansal hizmetler, enerji ve kamu hizmetleri, telekomünikasyon ve petrol ve gaz şirketlerini hedef alan siber casusluk grubu APT34’ün (OilRig veya Helix Kitten olarak da bilinir) işi gibi görünüyor.

Yeni gözlemlenen etkinlik, Temmuz 2019’da belgelenen bir operasyona benzer teknik ve araçları kullandığından bunun arkasında da APT34’ün olduğunu düşündürmektedir.

Intezer’in güvenlik araştırmacıları Westat çalışanlarına özel bir çalışan memnuniyeti anketi kılığına giren bir kimlik avı belgesi keşfettiler. Bir araştırma şirketi olan Westat, ABD devlet kurumları, işletmeler, vakıflar ve eyalet ve yerel yönetimlerle çalışmaktadır.

Tanımlanan kimlik avı belgesi açıldığında boş bir elektronik tablo olarak görünür ve kurbanı makroları etkinleştirmeye iter. Bu gerçekleştiğinde, kötü amaçlı VBA kodu TONEDEAF kötü amaçlı yazılımının güncelleştirilmiş bir sürümünü yükler ve kalıcılık sağlar.

Komutları almak ve yürütmek için, özel bir APT34 aracı olan TONEDEAF arka kapı, HTTP aracılığıyla C&C ile iletişim kurar. Yeni sürüm, yenilenmiş bir iletişim protokolü özellikleri, sadece rastgele kabuk yürütme yetenekleri ile birlikte gelir ve önceden tanımlanmış komutları desteklemez.

TONEDEAF 2.0 önceki sürüme göre büyük ölçüde değiştirilmiş kod özelliklerine sahiptir, ancak genel akış ve işlevsellik benzerdir. 

Güvenlik araştırmacıları, operasyonun Golang’da yerleşik bir tarayıcı kimlik bilgisi hırsızlığı aracı olan VALUEVAULT implantını da kullandığına inanıyorlar. Birkaç dakika arayla, aynı kullanıcı (Lübnan’dan) VALUEVAULT ve TONEDEAF 2.0’a giden kimlik avı belgesini VirusTotal’e  yükledi.

Araştırmacılar ayrıca, belge yazarının Microsoft Excel sürümünün tercih edilen dil olarak Arapça yüklü olduğunu keşfettiler.

About The Author

Reply