Araştırmacılar, Saldırganların Komutlarını Uygulamayı Bilen WezRat’ı Detaylandırdı

   Kasım 15, 2024  Posted in CyberSecurityNews


Araştırmacılar, Saldırganların Komutlarını Uygulamayı Bilen WezRat'ı Detaylandırdı

Geçtiğimiz günlerde güvenlik araştırmacıları tarafından WezRat hakkında yeni bir bilgi ortaya çıktı.

WezRat, İranlı siber grup “Emennet Pasargad” ile ilişkili gelişmiş bir kötü amaçlı yazılım ailesidir.

Hizmet Olarak SIEM

Aria Sepehr Ayandehsazan (ASA) da dahil olmak üzere çeşitli takma adlar altında faaliyet gösteren bu grup, İran İslam Devrim Muhafızları Birliği (IRGC) ile bağlantılıdır.

FBI, ABD Hazine Bakanlığı ve İsrail Ulusal Siber Güvenlik Müdürlüğü (INCD) 30 Ekim’de ortaklaşa bir Siber Güvenlik Tavsiye Raporu yayınladı.

İsrailli alıcılara kimlik avı e-postası gönderildi (Kaynak – CheckPoint)

Check Point’teki siber güvenlik analistleri, siber güvenlik tavsiye notunun Emennet Pasargad’ın son operasyonlarını öne çıkardığını gözlemledi: –

  • 2023 ortası: Kuran yakmayla ilgili mesajları dağıtmak için İsveç’te bir SMS hizmeti hacklendi
  • Aralık 2023: ABD merkezli bir IPTV yayın şirketinin İsrail-HAMAS çatışmasıyla ilgili mesajlar yayınlaması için ele geçirildi
  • 2024 ortası: Yaz Olimpiyatları sırasında İsrailli sporcuları hedef alan siber destekli bir dezenformasyon kampanyası başlattı

Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)

WezRat Analizi

Check Point Research, WezRat’ın en son sürümünün, INCD’yi taklit eden ve İsrailli kuruluşları hedef alan büyük ölçekli bir kimlik avı kampanyası yoluyla dağıtıldığını tespit etti.

Enfeksiyon zinciri (Kaynak – CheckPoint)

WezRat’ın temel özellikleri şunları içerir:

  1. C++ ile yazılmış
  2. OLLVM gizleme tekniklerini kullanır
  3. IP, bilgisayar adı ve kullanıcı adı dahil sistem bilgilerini toplar
  4. Şifrelenmiş komutları kullanarak komuta ve kontrol (C2) sunucularıyla iletişim kurar
  5. Dosya yükleme, ekran görüntüsü yakalama ve keylogging dahil olmak üzere çeşitli komutları destekler

WezRat, bilinen en eski sürümü olan Ağustos 2023’ten bu yana önemli bir gelişme kaydetti. Kötü amaçlı yazılımın yetenekleri şunları içerecek şekilde genişletildi:

  • Kalıcılık mekanizmaları
  • Ekran görüntüsü işlevi
  • Keylogging
  • Pano veri sızıntısı
  • Tarayıcı çerez hırsızlığı

Araştırmacılar WezRat’ın arka uç altyapısı hakkında bilgi sahibi oldular ve şunları ortaya çıkardılar:

  • Başlangıçta MySQL veritabanıyla Node.js için JavaScript’te yazılmıştır
  • Daha sonra Mart 2024 civarında Kestrel’e göç etti
  • Geliştirme ve operasyon ekipleri arasında olası ayrılık

WezRat, siber casusluk ortamında önemli bir tehdidi temsil ediyor. Devam eden geliştirme ve iyileştirmeler, Emennet Pasargad’ın siber operasyonlar için çok yönlü ve kaçamaklı bir araç sürdürme konusundaki kararlılığını göstermektedir.

Grubun faaliyetleri yalnızca siyasi düşmanları yönlendirmek için değil, aynı zamanda İran’ın uluslararası ve yerel söylemini etkileyebilecek tüm kuruluşlar için de risk teşkil ediyor.

WezRat gelişmeye devam ettikçe, siber güvenlik profesyonelleri ve kuruluşları dikkatli kalmalı ve savunmalarını bu karmaşık kötü amaçlı yazılım tehdidine karşı uyarlayacak şekilde uyarlanmalıdır.

Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.



Source link