İran hükümetine bağlı bir grup olan APT42, STK’ları, medyayı, akademiyi, hukuk firmalarını ve aktivistleri bulut ortamlarına erişim için kimlik bilgileri sağlamaları konusunda kandırmak amacıyla gazetecilerin ve etkinlik organizatörlerinin kimliğine bürünmek gibi sosyal mühendislik taktiklerini kullanıyor.
Tespit edilmekten kaçınmak için yerleşik araçları kullanırken stratejik öneme sahip verileri sızdırıyorlar.
APT42 ayrıca ilk erişim için hedef odaklı kimlik avı yoluyla özel NICECURL ve TAMECAT arka kapıları sunar; bu, yabancı tehditleri ve ülke içindeki huzursuzluğu izleme misyonuyla uyumludur.
APT42’nin kapsamlı kimlik bilgisi toplama operasyonları, genellikle üç adımlı bir süreci takip eden, ayrıntılı sosyal mühendislik içeren özel hedef odaklı kimlik avı kampanyalarını içerir.
.webp)
APT42 Hackerları Etkinlik Organizatörleri Olarak
APT42, devlet kurumlarının, medya kuruluşlarının, STK’ların ve aktivist gruplarının kimlik bilgilerini çalmak için üç altyapı kümesini kullandı.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Her küme, kimlik bilgilerini toplamak için hedef odaklı kimlik avı e-postaları kullandı, ancak alanlar, kimliğe bürünme temaları, sahte belgeler ve diğer operasyonel ayrıntılar her birinde biraz değişti.
APT42, 2022-23’te İran’a geri gönderdikleri ABD ve İngiltere hedeflerinin yasal ve STK’ların ele geçirdiği bulut altyapılarından veri alarak kimlik bilgileri çalma kampanyalarına devam etti.
Sosyal mühendislik yoluyla ve çok faktörlü kimlik doğrulamayı atlayarak, sistemde zaten bulunan özelliklerin yanı sıra açık kaynak araçlarını kullanarak Microsoft 365 ortamlarına gizlice girdiler, böylece kimse neler olduğunu fark etmedi.
.webp)
Araştırmacılar şu ana kadar yalnızca Amerika veya Britanya’da etkilenen kişiler hakkında bilgi sahibi olsa da, bu durum daha fazla ülkenin de saldırıya uğradığını gösterebilir çünkü APT42 dünya çapında kimlik bilgileri toplamaktadır.
Mandiant, APT42’nin, sahte kuruluşlardan gelen yanıltıcı içerikle hedef odaklı kimlik avı yoluyla iletilen özel NICECURL ve TAMECAT arka kapılarını dağıttığını belgeledi.
Bir VBScript arka kapısı olan NICECURL, ek modüllerin indirilmesine, komut yürütülmesine ve HTTPS üzerinden bağlanmaya olanak tanır.
Örnekler, Daniel Serwer (Orta Doğu akademisyeni) adını kullanarak Harvard’ın halk sağlığı okulunu ve ABD düşünce kuruluşunun “Kadınları Barış için Güçlendirmek” raporunu taklit ederek muhtemelen APT42’nin profiliyle tutarlı olarak İran ve Orta Doğu meseleleriyle ilgilenen STK’ları, hükümetleri ve grupları hedef alıyordu.
Arka kapılar, potansiyel kötü amaçlı yazılım dağıtım platformları olarak ilk erişimi mümkün kılar.
APT42’nin tespit edilmeyen tehdit tespitine yönelik yöntemleri, paylaşılan TTP’ler, IOC’ler ve kurallar bunu hafifletmeyi desteklemeye yardımcı olmak için yapar.
Araştırmacılara göre “Düşük ayak izi ve düşük tespit altyapısı.” Ancak belirli araçları veya kod adlarını kullanmaları gibi çeşitli göstergeler, Mandiant’ın sonunda bunları bulacağına işaret ediyordu.
Ayrıca, birden fazla durumda onları açığa çıkaran ortak kod depolarını kullandıkları da biliniyor.
Ayrıca, tüm bu faktörlere rağmen kimlik bilgilerinin kötüye kullanılması, bilgisayar korsanlarının ilk bulut erişimini elde etmek için kullandığı en yaygın yollardan biri olmaya devam ediyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide