Araştırmacılar, eğitim, hükümet, enerji, telekom ve STK’lar gibi sektörleri hedeflemek için kötü şöhretli bir İran tehdit grubu olan Oilrig olarak da bilinen APT34 ile bağlantılı kötü niyetli altyapının erken göstergelerini ortaya çıkardılar.
Kasım 2024 ve Nisan 2025 arasında, Irak’ta bir akademik organizasyonu taklit eden bir dizi alan ve sunucu izlendi (Biam-iraq[.]Org) ve hayali İngiltere merkezli teknoloji firmaları.
Her ne kadar aktif yük tespit edilmemesine rağmen, paylaşılan SSH tuşları, 8080 bağlantı noktasında tutarlı HTTP tuzak davranışı ve tematik alan kalıpları içeren bu altyapının kurulumu, savunucuların gelecekteki düşman operasyonlarını öngörmeleri için kritik bir pencere sunmaktadır.
.png
)
Öncelikle M247 Europe SRL sunucularında barındırılan bu uykuda altyapı, APT34’ün Tradecraft’ın, uzun vadeli evreleme ve özel kurulumları içeren geçmiş kampanyalarda görülen taktikleri yansıtıyor.
Teknik modeller ameliyat öncesi taktikleri ortaya çıkarır
Teknik özelliklere girme, Domain Biam-Irak[.]İlk olarak 2024’ün sonlarında ev sahibi denizcide tanımlanan Org, M247 IPS’ye geçti (38.180.18[.]189 ve sonraki 38.180.140[.]30), aylarca kaldığı, titiz operasyon öncesi planlama önermektedir.
Port 8080’de sunucular, Mart 2025 tehdit defteri raporunda belirtilen APT34 bağlantılı altyapı ile tutarlı bir tuzak yanıtı “Belge” başlıklı statik bir “Bulunamadı” sayfası döndürdü.
İncelemeyi caydırmak için tasarlanan bu HTTP davranışı, posta gibi alt alanları ortaya çıkaran pasif DNS kayıtlarıyla eşleştirildi. ve WebMail., Potansiyel kimlik avı veya kimlik bilgisi hasat kurulumlarını ima ediyor.
Eşzamanlı olarak, plenoryvantyx gibi ilgisiz .eu alanlar[.]AB ve Zyverantova[.]Aynı M247 ağında barındırılan AB, “Sphere Spark” ve “Zenstack Technologies” gibi fabrikasyon markalaşan İngiltere teknoloji firmaları olarak poz verdi.
Hunt Report’a göre, bu siteler PDR Solutions (US) LLC aracılığıyla kaydedildi ve Regway’i kullanıyor[.]Com Nameerers, Jenerik İçerik ve Meşruiyet İhtiyaçları için Stok Görüntüleri.
Göze çarpan bir gösterge, 21 Mart ve 29, 2025 arasında birden fazla sunucuda tek bir SSH parmak izinin (05CE787DE86117596A65FFF0BAB767DF2846D6B7FA782B605DAFF70A6332EB0) yeniden kullanımı idi.
Bu, Let’s Şifreleme ve Çakışan IP kullanımından tutarlı TLS sertifikaları ile birleştiğinde, ilgili varlıkların kümelenmesi için tespit edilebilir bir model oluşturur.
Aktif kötü amaçlı yazılımlar gözlenmemiş olsa da, bu teknik özellikler HTTP yanıtları, SSH anahtar yeniden kullanımı ve etki alanı adlandırma kuralları, savunucuları özel Huntsql sorgularını kullanarak Hunt.io gibi araçlarla izlemek için sinyallerle donatır.
Bu tür operasyon öncesi evrelemeyi tanımak hayati olmaya devam ediyor, çünkü odağı reaktif savunmadan proaktif izlemeye kaydırarak, APT34 kampanyalarını açılmadan önce potansiyel olarak bozuyor.
Uzlaşma Göstergeleri (IOCS)
| IP adresi | Alan (lar) | Barındırma şirketi | Konum |
|---|---|---|---|
| 38.180.140[.]30 | Biam-Iraq[.]Ya da olsun.[.]org, vb. | M247 Avrupa SRL | GB |
| 38.180.18[.]189 | plenoryvantyx[.]AB | M247 Avrupa SRL | OLMAK |
| 38.180.18[.]18 | aksorya[.]AB | M247 Avrupa SRL | OLMAK |
| 38.180.18[.]173 | valtorynekson[.]AB | M247 Avrupa SRL | OLMAK |
| 38.180.18[.]249 | Zyverantova[.]AB | M247 Avrupa SRL | OLMAK |
| 38.180.18[.]253 | Valtryventyx[.]AB | M247 Avrupa SRL | OLMAK |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!