İranlı Hackerlar Son Saldırılarda Yeni Kötü Amaçlı Yazılım Kullanıyor

FireEye, İran’la bağlantılı siber-casusluk grubu OilRig’in geçtiğimiz ay gözlemlenen saldırılarında da üç yeni kötü amaçlı yazılım ailesini kullanmaya başladığını bildirdi.

APT34 olarak da adlandırılan bilgisayar korsanlığı grubu ,  2014’ten bu yana faaliyet gösteriyor, çoğunlukla Orta Doğu’daki finans, hükümet, enerji, telekom ve kimya sektörlerindeki kuruluşları hedef alıyorlar.

Yeni tanımlanan saldırı, hem yeni kötü amaçlı yazılımların hem de LinkedIn’in zararlı yazılım içeren belgeler sağlama suiistimali de dahil olmak üzere ek altyapının kullanılmasıyla karakterize edilir. Saldırıların bir parçası olarak saldırgan, mağdurların zararlı yazılım içeren belgeleri açma konusunda güven duymalarını sağlamak için Cambridge Üniversitesinin bir üyesi olarak kendini tanıtıyor.

Temel olarak enerji ve kamu hizmetleri, hükümet ve petrol ve gaz endüstrilerini hedef alan bu yeni gözlemlenen faaliyetin bir parçası olarak, APT34 yalnızca PowerShell tarafından geliştirilen kötü amaçlı yazılımları değil, Golang tabanlı araçları da kullandı. Saldırganlar ayrıca PICKPOCKET kötü amaçlı yazılımını bir kez daha kullandılar.

Yeni dağıtılan kötü amaçlı yazılımlardan ilki, HTTP GET ve POST isteklerini kullanarak bir komut ve kontrol (C&C) sunucusu ile iletişim kuran bir arka kapı olan TONEDEAF olarak adlandırılır. Kötü amaçlı yazılım, sistem bilgilerini toplamak, dosyaları yüklemek ve indirmek ve rastgele kabuk komutunun yürütülmesini kolaylaştırmak için tasarlanmıştır.

Kötü amaçlı yazılım, Cambridge Üniversitesi’nde çalıştığını iddia eden birinden alınan bir LinkedIn mesajı aracılığıyla gönderilen bir .xls dosyası aracılığıyla dağıtıldı. Elektronik tablo, yerel sistemde yürütülebilir bir dosya ve her dakika çalıştırmak üzere zamanlanmış bir görev oluşturdu.

Kötü amaçlı yazılım, offlineearthquake[.]com‘u potansiyel bir C&C olarak kullanır ve FireEye , aynı etki alanına, yani VALUEVAULT ve LONGWATCH’e bağlanan diğer iki kötü amaçlı yazılım ailesini tanımlamayı başarır. Aynı sunucu bir tarayıcı kimlik bilgisi-hırsızlık aracı olan PICKPOCKET’in bir türevine de ev sahipliği yapıyor.

LONGWATCH adı altında C & C üzerinde , WinNTProgram.exe , Windows Temp klasöründe bir log.txt dosyasına tüm tuş vuruşlarını kaydeden bir keylogger bulundu.

B.exe olarak tanımlanan VALUEVAULT , Massimiliano Montoro’nun “Windows Vault Password Dumper” tarayıcı kimlik bilgileri hırsızlık aracının Golang tarafından derlenmiş bir sürümüdür. Orijinal belgeye benzer şekilde, Windows Vault’da depolanan kimlik bilgilerini çıkarabilir ve ayrıca tarayıcı geçmişini çıkarmak için PowerShell’i çağırabilir.

Sunucuda hem 64, hem de 32-bit değişkenlerde bulunan PICKPOCKET , kullanıcının web sitesi oturum açma kimlik bilgilerini Chrome, Firefox ve Internet Explorer’dan almak için tasarlanmış bir kimlik bilgisi hırsızlığı aracıdır. Araç daha önce Mandiant olayında kullanılmıştı ve bugüne kadar yalnızca APT34 tarafından kullanılıyordu.

Yetkililer “APT34’ün masaya yeni araçlar getirmesinin son olmayacağından şüpheleniyoruz. Tehdit aktörleri, özellikle hedef çok istenirse, tespit mekanizmalarından kaçmak için TTP’lerini sıklıkla yeniden şekillendirir. Bu nedenlerden ötürü, kuruluşların savunmalarına karşı uyanık olmalarını tavsiye ediyoruz ve bilgi güvenliği söz konusu olduğunda çevrelerini bütünsel olarak görmeyi unutmamaları gerekir ” dedi.

About The Author

Reply