Oilrig veya Helix Kitten olarak da bilinen Apt34, siber-ihale kampanyalarını yoğunlaştırdı ve finans ve telekomünikasyon sektörlerindeki varlıkları hedeflemek için özel kötü amaçlı yazılımlar kullandı.
2012’den beri aktif olan grup, Orta Doğu ile bağlantılı iyi belgelenmiş gelişmiş kalıcı tehdit (APT) aktördür.
Tehdit Kitabı Araştırma ve Müdahale Ekibi tarafından yapılan son araştırmalar, APT34’ün en son operasyonlarının Irak devlet örgütleri üzerinde yoğunlaştığını ve kritik sistemlere sızmak için gelişmiş kötü amaçlı yazılım tekniklerinden yararlandığını ortaya koydu.
Kötü amaçlı yazılım özellikleri ve saldırı vektörleri
Yeni tanımlanan kötü amaçlı yazılımlar, kurbanları kötü amaçlı yükler yürütmeye kandırmak için PDF’ler veya davet mektupları gibi meşru dosyalar olarak gizlenir.
Etkinleştirme üzerine, varlığını gizlemek için zaman damgaları oluştururken bir arka kapı ve şifreli yapılandırma dosyaları yükler.
Kötü amaçlı yazılım ayrıca, meşru hizmetler olarak gizlenmiş planlanmış görevler oluşturarak kalıcılık oluşturur.
Örneğin, “MonitorupDate” adlı böyle bir hizmet, tehlikeye atılan sistemler üzerinde kontrolü sürdürmek için saatlik olarak yürütülür.
APT34, verileri dışarı atmak ve talimatları almak için çift iletişim kanalları HTTP ve e -posta kullanır.
HTTP tabanlı iletişim, web içeriğine gömülü gizlenmiş komutlar kullanırken, e-posta tabanlı iletişim, gizli işlemler için Irak Hükümeti e-posta hesaplarını tehlikeye atar.
Buna ek olarak, grup, kötü niyetli faaliyetleri gizlemek için sahte 404 hata sayfaları gibi taklit teknikleriyle Avrupa tabanlı altyapı oluşturdu.
Kötü amaçlı yazılım davranışının teknik analizi
Kötü amaçlı yazılım C# ile yazılmıştır ve karmaşık şifreleme mekanizmalarına sahiptir.
Yürütme sırasında dizelerin dinamik olarak şifresini çözmek için Base64 kodlama ve XOR işlemlerinin bir kombinasyonunu kullanır.
Bu yaklaşım sadece kodunu gizlemekle kalmaz, aynı zamanda tespiti geleneksel güvenlik araçları için zorlaştırır.
Kötü amaçlı yazılım, anakart bilgileri ve sistem kurulum süreleri gibi sistem ayrıntılarını analiz ederek sanallaştırılmış ortamları kontrol eder.
Sanallaştırma tespit edilirse veya sistem yeni yüklenmiş (üç aydan az) görünürse, kötü amaçlı yazılım analizi önlemek için yürütmeyi sonlandırır.
Başarılı dağıtım üzerine, kötü amaçlı yazılım birkaç eylem gerçekleştirir:
- Ana bilgisayar bilgilerini komut ve kontrol (C2) sunucularına şifreler ve yükler.
- Dosya yüklemelerini ve indirmeleri kolaylaştırır.
- Ek komutları yürütmek için yerel olarak saklanan yapılandırma dosyalarını şifresini çözer.
- Dosya zaman damgalarını değiştirerek ve planlanan görevler oluşturarak kalıcılık oluşturur.
C2 altyapısı, talimat almak için belirli URL modellerine dayanır.
Bununla birlikte, son analizler, bazı C2 sunucularının, potansiyel bozulmayı veya operasyonların göçünü öneren döndürülebilir komutları durdurduğunu göstermektedir.
APT34’ün finans ve telekomünikasyonlara odaklanması, hükümet, enerji ve savunma gibi yüksek değerli sektörlerin tarihsel hedeflemesi ile uyumludur.
Grup, sahte belgelerden yararlanarak ve meşru e -posta hesaplarından yararlanarak, istihbarat toplanmasına yönelik yüksek düzeyde operasyonel sofistike olduğunu göstermektedir.
Rapora göre, tehdit defteri araştırmacıları, alan adları, IP adresleri ve kampanya ile ilişkili dosya karmaları dahil olmak üzere birden fazla uzlaşma göstergesini (IOCS) çıkardılar.
Bu IOC’ler, APT34’ün taktiklerine karşı savunmalarını desteklemek isteyen kuruluşlar için eyleme geçirilebilir zeka sağlar.
APT34’ün son kampanyası, devlet destekli aktörlerin ortaya koyduğu gelişen tehdit manzarasının altını çiziyor.
Gelişmiş şifreleme tekniklerine sahip özel kötü amaçlı yazılım kullanımları, kritik altyapı sektörlerinde güçlü tehdit algılama mekanizmalarına olan ihtiyacı vurgulamaktadır.
Finans ve telekomünikasyondaki kuruluşların, düzenli tehdit istihbarat güncellemeleri, uç nokta izleme ve mızrak aktı saldırılarından ve diğer saldırı yöntemlerinden kaynaklanan riskleri azaltmak için çalışan eğitimi gibi proaktif önlemleri benimsemeleri istenmektedir.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin