APT35 (Charming Kitten, TA453 ve Tortoiseshell olarak da bilinir) olarak bilinen İran bağlantılı gelişmiş kalıcı tehdit (APT), sivil toplum üyelerine yönelik hedefli siber saldırılar gerçekleştirmek için özel olarak hazırlanmış Mac kötü amaçlı yazılımı geliştirdi.
Proofpoint tarafından yapılan son araştırmaya göre, “NokNok” olarak adlandırılan Mac kötü amaçlı yazılımı, devlet destekli siber casusluk grubunun, yabancı kaynaklara odaklanan ABD merkezli bir düşünce kuruluşundaki bir nükleer güvenlik uzmanı için halka açık bir medya bağlantısına bir konuşma yemi göndermesinin ardından keşfedildi. Kraliyet Birleşik Hizmetler Enstitüsü’nde kıdemli bir arkadaş olduğunu iddia eden işler.
E-posta, “Küresel Güvenlik Bağlamında İran” olarak adlandırıldığı iddia edilen bir proje hakkında geri bildirim istedi ve incelenmek üzere bir taslak göndermek için izin istedi. Saldırganlar, amaçlanan hedefle güven ve yakınlık oluşturmak için bir dizi yüksüz e-posta etkileşimi başlattılar ve ardından “hedefi bir Dropbox URL’sine yönlendirecek bir Google Script makrosuna kötü niyetli bir bağlantı teslim ettiler.” Orada hedef, kötü amaçlı bir LNK dosyası içeren parola korumalı bir .RAR dosyasına erişebilir ve bu dosya da NokNok’u indirebilir.
APT35 Taktiklerinde Bir Evrim
Saldırı, büyük olasılıkla, genel olarak güncellenmiş bir siber saldırı cephaneliğine sahip olan grup tarafından yürütülen daha geniş bir kampanyanın parçası.
Geçen hafta, Volexity tarafından yayınlanan APT35 araştırması, İsrailli bir gazeteciye yönelik bir hedefli kimlik avı kampanyasını, bir “taslak rapor” tuzağıyla detaylandırdı. arka kapı. Saldırı aynı zamanda, düşünce kuruluşu olayı gibi, hedefin güvenini kazanmak için saldırganlar tarafından gönderilen bir dizi iyi huylu e-postayı da içeriyordu.
Bu kampanyada yük, Volexity araştırmacılarının PowerStar adını verdiği bir Windows koduydu. Proofpoint’in kıdemli tehdit araştırmacısı Joshua Miller, firmasının Windows tehdidini de takip ederek buna “GorjoEcho” adını verdiğini söylüyor.
“GorjolEcho, Proofpoint’in Volexity’nin PowerStar’ına verdiği addır” diyor. “Ve NokNok neredeyse kesinlikle PowerStar/GorjolEcho’nun Mac versiyonudur.”
Proofpoint, APT35’in GorjolEcho’yu sunmaya çalıştığını gözlemledi, ancak Windows dışı bir ortamla karşılaştığında, NokNok kullanarak Apple’a özgü enfeksiyon zincirine döndü, diye ekliyor.
Microsoft’un Makro Korumalarından Kaçınma
Miller, .RAR ve .LNK dosyalarının kullanımının, APT35’in VBA makroları veya uzak şablon enjeksiyonu kullanan tipik bulaşma zincirinden farklı olduğunu belirtiyor. Microsoft’un internetten indirilen makroları varsayılan olarak devre dışı bırakmasının, tehdit aktörlerinin kötü amaçlı yazılım dağıtımı için yeni taktikler, teknikler ve prosedürler benimsemesine yol açtığını söylüyor.
“Buna, genel saldırı zincirlerinin bir parçası olarak LNK dosyalarının benimsenmesi de dahildir. Artık ‘makroları etkinleştirmek için tıklayın’ hilesi, kötü amaçlı yazılım dağıtan tehdit aktörleri için etkili bir şekilde çalışmıyor” diyor.
LNK dosyalarını kullanmanın Word makrolarından daha tehlikeli olmadığını, çünkü LNK’leri içeren saldırı zincirlerinin daha fazla insan etkileşimi gerektirebileceğini ve bu nedenle potansiyel olarak daha fazla algılama fırsatı sunabileceğini iddia ediyor. “Örneğin, bir e-posta, kötü amaçlı yazılım yüklemek için bir LNK içeren parola korumalı bir zip dosyasına yönlendiren bir URL içeren bir PDF eki içerebilir” diyor ve ekliyor: “Microsoft, makro etkin belgeleri kötü amaçlı yazılım dağıtımı için etkili bir şekilde çok daha az kullanışlı hale getiriyor. çok daha dolambaçlı saldırı zincirleri de dahil olmak üzere yeni şeyleri uyarlamak ve denemek için tehdit aktörleri.”
Miller, “APT35 söz konusu olduğunda, LNK’ler, kötü amaçlı yazılım dağıtımlarının etkinliğini artırmaya yönelik sürekli gelişimlerinin bir örneğidir. Diğer girişimler, geçmişte makroları ve uzak şablon enjeksiyonunu içermiştir.”
APT35’in Sorumlu Olarak Belirlenmesi
Proofpoint, önceki etkinlikle doğrudan kod benzerliklerine ve genel kampanya taktikleri, teknikleri ve prosedürlerindeki benzerliklere dayanarak kampanyanın APT35’e atfedildiğini “yüksek bir güvenle” söyledi.
“Kanıt noktası, TA453’ün İslam Devrim Muhafızları Birliği’ni (IRGC), özellikle de IRGC İstihbarat Teşkilatını (IRGC-IO) desteklemek için çalıştığını değerlendirmeye devam ediyor. Bu değerlendirme, Charming Kitten raporları arasındaki birim numaralarındaki çakışmalar da dahil olmak üzere çeşitli kanıtlara dayanmaktadır. ve Devrim Muhafızları birimleri” dedi araştırmacılar.
Son kampanyada neden bu özel İsrail hedefleri? Proofpoint’in blogu, Kapsamlı Ortak Eylem Planı müzakereleri devam ederken ve Tahran’ın kendisini etki alanı içinde giderek daha fazla izole edilmiş bulurken, APT35’in “hedef alma çabalarının büyük çoğunluğunu, muhtemelen bu dış politikalar hakkında bilgi veren uzmanlara odakladığını” belirtti.
Mandiant’ın yakın tarihli bir blog gönderisine göre, APT35 tipik olarak Orta Doğu askeri, diplomatik ve hükümet personelini hedef alıyor; medya, enerji ve savunma sektörlerindeki kuruluşlar; ve mühendislik, ticari hizmetler ve telekomünikasyon sektörleri. Özellikle, “APT35’in operasyonlarının genişliği ve kapsamı, özellikle karmaşık sosyal mühendislik çabalarıyla ilgili olarak, muhtemelen grubun diğer alanlarda iyi kaynaklara sahip olduğunu gösterir” ve “başlangıçta bir organizasyonu tehlikeye atmak için tipik olarak kimlik avına güvenir. “