Mandiant, gelişmiş bir İran devlet destekli siber grup olan UNC1860’ın faaliyetlerini ifşa etti. İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı olduğuna inanılan bu grup, hükümet ve telekomünikasyon sektörleri de dahil olmak üzere Orta Doğu genelindeki yüksek öncelikli ağlara aktif olarak sızıyor.
UNC1860, grubun tehlikeye atılmış ağlara uzun vadeli erişimini sürdürmesini sağlayan özel araçlar ve pasif arka kapılar kullanmasıyla biliniyor.
Grubun araç seti, Windows bileşenlerinin tersine mühendisliği gibi gelişmiş yetenekleri içeriyor ve bu sayede tespit edilmekten kaçınırken güvenlik açıklarından yararlanabiliyorlar.
Grubun Windows çekirdeği manipülasyonu konusundaki teknik uzmanlığını yansıtan, İran antivirüs yazılımından yeniden tasarlanmış bir sürücü de şirketin cephaneliğinde yer alıyor.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katılın
UNC1860 araç setinin temel bileşenleri, özel GUI ile çalıştırılan kötü amaçlı yazılım denetleyicileri TEMPLEPLAY ve VIROGREEN’dir.
Bu denetleyiciler, uzaktaki operatörlere enfekte sistemler üzerinde kolay erişim ve kontrol sağlamak, devretme işlemlerini ve tehlikeye atılmış ağlar içinde yatay hareketi kolaylaştırmak için tasarlanmıştır.
Mandiant’ın bulguları, grubun İran bağlantılı diğer siber birimler tarafından yürütülen yıkıcı operasyonlar için ilk erişim sağlayıcı rolünü vurguluyor.
Ekim 2023’te İsrail’e düzenlenen saldırı veya 2022’de Arnavutluk’ta düzenlenen ROADSWEEP saldırıları gibi dikkat çeken saldırılara doğrudan katılımın bağımsız olarak doğrulanması mümkün olmasa da grubun araçlarının bu tür operasyonları kolaylaştırmak için tasarlanmış olduğu anlaşılıyor.
Raporda ayrıca grubun bir diğer İran siber casusluk grubu olan APT34 ile bağlantıları da belirtiliyor. Her iki grubun da Irak, Suudi Arabistan ve Katar’daki varlıkları hedef aldığı gözlemlendi; UNC1860, diğer ağları taramak ve istismar etmek için tehlikeye atılmış sistemleri kullanıyor.
UNC1860’ın pasif yardımcı programlarının kullanımı, antivirüs tespitinden kaçınırken ilk erişimi ve yanal hareketi sağlamaya yardımcı olur.
Bu araçlar, çeşitli amaçlarla ele geçirilmiş sistemlere gizli erişim sağlıyor ve bu da grubu casusluktan ağ saldırılarına kadar çeşitli faaliyetlerde bulunan güçlü bir tehdit aktörü haline getiriyor.
Orta Doğu’daki devam eden gerginlikler, siber güvenliğin kritik rolünü vurgulamaktadır. Siber dayanıklılığa öncelik veren kuruluşlar, giderek daha fazla birbirine bağlı hale gelen bir dünyada operasyonlarının bütünlüğünü ve sürekliliğini koruyarak bu yeni çağın zorluklarıyla yüzleşmek için daha donanımlıdır.
İran’ın siber operasyonlarının giderek daha cüretkar hale gelmesiyle birlikte, UNC1860’ın faaliyetlerinin ortaya çıkması, bölgedeki gelişen tehditlerin bir hatırlatıcısı olarak hizmet ediyor.
Grubun ilk erişimi elde etme konusundaki uzmanlığı, onu İran’ın siber ekosistemi içinde değerli bir varlık haline getiriyor ve gelişen hedefleri destekleme kapasitesine sahip.
UNC1860’ın faaliyetleri, İran’ın siber operasyonlarının karmaşık yapısını ve bu tür tehditlere karşı korunmak için güçlü siber güvenlik önlemlerine olan ihtiyacı vurgulamaktadır.
Jeopolitik gerginlikler dalgalanmaya devam ederken, kurumsal bütünlüğün ve dayanıklılığın korunmasında siber güvenliğin önemi yeterince vurgulanamaz.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial