Son aylarda, İranlı uyumlu tehdit grubuna atfedilen hedefli müdahalelerdeki artış APT35, dünya çapında hükümet ve askeri ağlar arasında alarm zilleri başlattı.
İlk olarak 2025’in başlarında tespit edilen kampanya, güvenli çevrelere sızmak ve kullanıcı kimlik bilgilerini hasat etmek için özel olarak inşa edilmiş kötü amaçlı yazılımlardan yararlanır.
Uzlaşma ilk göstergeleri, bir kez açıldıktan sonra çok aşamalı bir yükü açan HTML eklerine sahip mızrak-aktı e-postalarına işaret ederek hedef ortamda sessizce bir yer oluşturur.
Saldırı zincirinin analizi, ilk vektörün CVE-2023-23397’yi kullanan silahlandırılmış Microsoft ofis belgelerini Outlook’un güvenlik modelini atlamak için içerdiğini ortaya koymaktadır.
Gömülü kod, bir PowerShell Stager’ı indirir ve bu da birincil kimlik bilgisi-silmeci modülünü uzak bir komut ve kontrol (C2) sunucusundan getirir.
StromShield araştırmacıları, bu davranışı Nisan ayında bir savunma bakanlığı ağının uzlaşması sırasında belirlediler ve belge istismarından gizli keşiflere ve kimlik bilgisi uygulanmasına kesintisiz geçişe dikkat çekti.
Bir kez konuşlandırıldıktan sonra, kötü amaçlı yazılım, tespit edilmesinden kaçınmak için meşru sistem süreçleri olarak maskelenir. NTLM Challenge-yanıt alışverişlerini engellemek için Windows Güvenlik Destek Sağlayıcısı Arayüzüne (SSPI) bağlanır ve bellekte karma kimlik bilgilerini yakalar.
Bu karmalar daha sonra saldırganın altyapısına aktarılır, burada karma çatlama ve hat geçiş tekniklerinin bir kombinasyonu, yüksek değerli sunucularda ayrıcalıklı hesapların kilidini açar.
Etki önemli olmuştur: Askeri iletişim ağlarındaki birden fazla hesap, geleneksel izinsiz giriş tespit sistemlerini tetiklemeden tehlikeye atılmıştır.
Belgelenmiş bir durumda, Stager kodu aşağıdaki snippet’e benziyor ve kötü amaçlı yazılımın PowerShell’de SSPI kancalarını nasıl çağırdığını gösteriyor:-
$sspi = Add-Type -MemberDefinition @"
[DllImport("secur32.dll", CharSet=CharSet.Auto)]
public static extern int LsaLogonUser(
IntPtr LsaHandle, string OriginName, uint LogonType,
uint LogonPackage, IntPtr AuthenticationInfo,
uint AuthenticationInfoLength, IntPtr LocalGroups,
IntPtr SourceContext, out IntPtr ProfileBuffer,
out uint ProfileBufferLength, out uint LogonId,
out IntPtr Token, out uint Quotas, out uint SubStatus);
"@ -Name "Lsa" -Namespace "WinAPI" -PassThruEnfeksiyon mekanizması
Enfeksiyon mekanizması, ilk olarak kurbanın ortamını fark eden iki aşamalı bir indiriciye bağlıdır.
Başarılı belge istismarı üzerine, ilk Stager, güvenlik araçları için kayıt defteri anahtarları ve yüklü çekirdek modüllerini taramak için çevre kontrolleri gerçekleştirir.
Tanınmış bir analiz sandbox tespit edilirse, yürütme tersine mühendislik çabalarını engellemek için durur. Aksi takdirde, Stager, baz 64 kodlu bir ikinci aşama yükü çözer ve %AppData%\Roaming\msnetcache.dll üzerinden yüklemeden önce rundll32.exe.
.webp)
Bu DLL, SSPI kanca mantığını uygular, kimlik bilgilerini keser ve ardından C2 etki alanına 443 numaralı bağlantı noktası üzerinden HTTP GET isteklerini gerçekleştirir ve trafiği meşru HTTPS oturumlarıyla harmanlar.
Genel olarak, kampanya, APT35’in güvenilir süreçlere derinlemesine gömülmede ve açık artefaktlar bırakmadan kimlik bilgilerini yakalamak için yerel API’lerden yararlanmada artan sofistike olmasını yansıtıyor.
Kritik erişim tehlikeye girmeden önce bu tür gizli müdahaleleri tespit etmek için sürekli uyanıklık ve ileri davranış izleme çok önemlidir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
