Birleşik Arap Emirlikleri’ndeki havacılık ve uydu iletişim sektörlerini hedefleyen sofistike bir siber casusluk kampanyası Proofpoint araştırmacıları tarafından ortaya çıktı.
“Unk_craftycamel” olarak adlandırılan bir tehdit kümesine atfedilen operasyon, bölgedeki kritik ulaşım altyapısına sızmak için güvenilir iş ilişkilerinden yararlanmak ve gizlenmiş kötü amaçlı yazılımları dağıtmak da dahil olmak üzere gelişmiş teknikleri göstermektedir.
Yüksek hedefli yaklaşım
2024’ün sonlarında başlayan kampanya, BAE’deki beşten az kuruluşa mızrak akhisli e-postalar göndermek için bir Hint elektronik şirketi olan GIB Electronics’e ait uzlaşılmış bir e-posta hesabı kullandı.
E -postalar, meşru alanları taklit eden kötü amaçlı URL’ler içeriyordu (indicelectronics[.]net), çok dilli bir zip arşivi indirmek için önde gelen alıcılar dosyalar nadir ve teknik olarak gelişmiş bir kötü amaçlı yazılım dağıtım yöntemi.
Bu çok dilli dosyalar, formata özgü tuhaflıklardan yararlanarak algılamadan kaçacak şekilde tasarlanmış ve yüklerini teslim ederken meşru PDF ve XLS dosyaları olarak maskelenmelerini sağlayacak şekilde tasarlanmıştır.
Proofpoint araştırmacıları, Zip Arşivinin bir çift ekspresli LNK dosyası ve iki poliglot PDF içerdiğini belirlediler.
Yürütme üzerine, LNK dosyası CMD’yi içeren bir olay zincirini tetikledi[.]EXE ve MSHTA[.]Sonuçta “Sosano” adlı özel bir arka kapı yükleyen exe işlemleri.
Golang’da yazılmış bu arka kapı, siber güvenlik uzmanları için analizi karmaşıklaştıran şişirilmiş kod ve kullanılmayan kütüphaneler de dahil olmak üzere önemli gizleme çabalarını sergiledi.
Sosano arka kapı işlevselliği
Sosano Backdoor, sınırlı ve güçlü yeteneklere sahip bir DLL olarak çalışır.
Yürütüldükten sonra, komut ve kontrol (C2) sunucusuna (bokhoreshonline[.]com) ve talimatları bekler.
Komutlar arasında dizin gezinme, yük indirme, kabuk komutu yürütme ve dizin silme bulunur.
Kötü amaçlı yazılım ayrıca otomatik sanal alan algılama sistemlerini atlamak için rastgele uyku rutinleri gibi kaçınma taktiklerini de kullanır.
Araştırmacılar soruşturmaları sırasında bir sonraki aşama yükü alamamış olsalar da, kötü amaçlı yazılımların gelecekteki yinelemeleri için kullanılabilecek ek gömülü XOR anahtarlarını kaydettiler.
UNK_CraftyCamel’in bilinen diğer tehdit kümeleriyle doğrudan bir örtüşme olmasına rağmen, Proofpoint analistleri İranlı uyumlu gruplarla TA451 ve TA455 gibi benzerlikler gözlemlediler.
Her iki küme de tarihsel olarak havacılık organizasyonlarını hedeflemiştir ve HTA dosya dağıtım ve işletmeler arası satış yemleri gibi benzer taktikler kullanmıştır.
Bu paralelliklere rağmen, UNK_CRAFTYCAMEL, BAE havacılık ve uydu iletişim sektörlerine odaklanan açık bir yetkiye sahip bağımsız bir varlık olarak değerlendirilir.
Bu kampanya, güvenilir üçüncü taraf varlıklardan ödün vererek tedarik zinciri güvenlik açıklarından yararlanan rakiplerin artan eğilimini vurgulamaktadır.
Bu tür taktikler başlangıç tespit oranlarını azaltır ve başarılı bir şekilde infiltrasyon olasılığını yüksek değerli hedeflere artırır.
Kuruluşlara, bilinen kişilerden kötü niyetli içeriği belirleme konusunda çalışan eğitimini geliştirmeleri ve yakın zamanda açılmamış dizinlerden yürütme veya kullanıcı dizinlerinden JPG dosyalarına erişen yürütülebilir dosyalar gibi olağandışı dosya davranışları için sağlam algılama mekanizmaları uygulamaları tavsiye edilir.
Proofpoint’in bulguları, küresel olarak kritik altyapı sektörlerini hedefleyen giderek artan siber tehditlere karşı uyanıklığın önemini vurgulamaktadır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.