Ekim 2025’te önemli bir ihlal, İran’ın İslam Devrim Muhafızları İstihbarat Teşkilatı bünyesinde faaliyet gösteren bir siber birim olan Charming Kitten olarak da bilinen APT35’in iç işleyişini açığa çıkardı.
Sızan binlerce belge, grubun Orta Doğu ve Asya’daki hükümetleri ve işletmeleri hedef alma konusundaki sistematik yaklaşımını ortaya çıkardı.
Ortaya çıkanlar arasında, devlet destekli bu grubun büyük ölçekte siber casusluğu nasıl yürüttüğünün net bir resmini çizen performans raporları, teknik kılavuzlar ve operasyonel kayıtlar yer alıyordu.
Sızan materyaller, APT35’in sıradan bir hacker topluluğu olmaktan ziyade geleneksel bir askeri örgüt gibi çalıştığını gösteriyor.
DomainTools güvenlik analistleri, grubun, operatörlerin çalışma saatlerini, tamamlanan görevlerini ve başarı oranlarını daha sonra kapsamlı kampanya özetleri derleyen denetçilere rapor ettiği ayrıntılı performans izleme sistemleri sürdürdüğünü tespit etti.
Bu bürokratik yapı, operatörlerin yaka kartıyla giriş sistemleri, sabit çalışma programları ve resmi gözetim mekanizmalarıyla merkezi bir tesisten çalıştığını ortaya koyuyor.
Kuruluş, insan istihbaratını toplamak için istismar geliştirme, kimlik bilgileri toplama, kimlik avı operasyonları ve gerçek zamanlı posta kutusu izlemeye odaklanan uzman ekiplerden oluşuyor. Sızdırılan dosyalarda belgelenen saldırı yöntemleri yöntemli ve oldukça organize.
DomainTools güvenlik araştırmacıları, APT35’in öncelikle çalışanların iletişim bilgilerini içeren Genel Adres Listelerini çıkarmak için Autodiscover ve EWS hizmetleriyle birleştirilmiş ProxyShell istismar zincirleri aracılığıyla Microsoft Exchange sunucularını hedef aldığını belirtti.
Bu kişi listeleri, kimlik bilgilerini toplayan hedefli kimlik avı kampanyalarının temelini oluşturur. İlk erişim elde edildikten sonra grup, Mimikatz’a benzer teknikler kullanarak kalıcı erişim sağlamak ve bilgisayar belleğinden ek kimlik bilgileri çalmak için özel geliştirilmiş araçları kullanıyor.
Çalınan bilgiler, saldırganların ağlar arasında yanal olarak hareket etmesine ve uzun vadeli erişimi sürdürmesine olanak tanır.
Kampanyanın coğrafi kapsamı birden fazla kritik bölgeyi kapsamaktadır. Hedeflenen kuruluşlar arasında Türkiye, Lübnan, Kuveyt, Suudi Arabistan, Güney Kore ve İran’daki bakanlıklar, telekomünikasyon şirketleri, gümrük kurumları ve enerji firmaları yer alıyor.
Sızan belgeler, hangi saldırıların başarılı, hangilerinin başarısız olduğunu gösteren notların yanı sıra erişimi sürdürmek için kullanılan web kabuğu yollarını içeren açıklamalı hedef listeleri içeriyor.
Operasyonel odak, rastgele fırsatçı saldırılardan ziyade İran hükümetinin hedefleriyle uyumlu stratejik istihbarat toplama önceliklerini ortaya koyuyor.
Diplomatik iletişime, telekomünikasyon altyapısına ve kritik enerji sektörlerine erişim, Tahran’a jeopolitik müzakereler ve tehdit değerlendirmesi için değerli bilgiler sağlıyor.
Borsa Kullanımı ve Kimlik Bilgisi Toplama İşlem Hattı
APT35’in operasyonlarını destekleyen teknik altyapı, kurumsal e-posta sistemlerinin gelişmiş anlayışını ortaya koymaktadır.
.webp)
Grup, savunmasız sunucuları tespit etmek için keşif taramasıyla başlayan koordineli bir yararlanma dizisi yoluyla Exchange’in güvenlik açıklarını silah haline getiriyor. Uygun hedefler belirlendikten sonra operatörler, uzaktan komut yürütme yetenekleri oluşturmak için meşru sistem dosyaları olarak gizlenen web kabuklarını dağıtır.
Genellikle m0s.* modeliyle adlandırılan bu web kabukları, operatörlerin özel hazırlanmış HTTP üstbilgileri aracılığıyla eriştiği etkileşimli komut kabukları sağlar.
Operatörler tarafından kullanılan Python tabanlı istemci araçları, Accept-Language başlıklarındaki komutları kodlar ve kimlik doğrulama için statik bir belirteç kullanarak meşru ağ trafiğiyle harmanlanan gizli bir iletişim kanalı oluşturur.
İlk erişimin ardından grup, Exchange sunucularından Genel Adres Listesini çıkararak e-posta iletişim bilgilerini sonraki kimlik avı operasyonları için yapılandırılmış verilere dönüştürüyor.
Toplanan kimlik bilgileri anında doğrulanır ve hedef ağdaki diğer sistemlerde yeniden kullanılır.
Sızan belgeler, kabukları doğrulayan ve posta kutusu içeriklerini insan müdahalesi olmadan çıkaran otomatik komut dosyalarını tanımlayarak yetenek geliştirme olgunluğunu gösteriyor.
Tüm süreç, aylık performans raporlarına kaydedilen başarı ölçümleriyle birlikte dahili taktik kitaplarında belgelenen standartlaştırılmış şablonları takip eder.
Exchange güvenliğinin aşılmasına, kimlik bilgilerinin çıkarılmasına ve kimlik avı entegrasyonuna yönelik bu sistematik yaklaşım, APT35’in teknik güvenlik açıklarını rastgele fırsatlar yerine ölçülebilir çıktılarla ölçülen sürdürülebilir istihbarat toplama operasyonlarına nasıl dönüştürdüğünü göstermektedir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
