APT42 olarak da bilinen Damselfly Gelişmiş Kalıcı Tehdit (APT) grubu, Windows makinelerine sızmak için NiceCurl ve TameCat adlı özel arka kapı varyantlarını aktif olarak kullanıyor.
Bu arka kapılar öncelikle hedef odaklı kimlik avı kampanyaları yoluyla sunuluyor ve bu, İran devleti destekli bilgisayar korsanlığı grubunun yeteneklerinde ve odak noktasında önemli bir artışa işaret ediyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
NiceCurl ve TameCat arka kapıları, Damselfly’nin cephaneliğindeki gelişmiş bir araç setini temsil ediyor ve tehdit aktörlerinin hedeflenen ortamlara gizlice ilk erişim elde etmelerini sağlıyor.
VBScript tabanlı bir kötü amaçlı yazılım olan NiceCurl, ek kötü amaçlı modüller indirip yürütmek ve böylece saldırganların ele geçirilen sistemler üzerindeki kontrolünü artırmak üzere tasarlanmıştır.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free.
Öte yandan TameCat arka kapısı, PowerShell ve C# betiklerinin yürütülmesini kolaylaştırarak ek isteğe bağlı içerik indirerek daha fazla yararlanmaya olanak tanır.
Bu araçlar Damselfly tarafından casusluk yapmak ve hedeflenen tesislerdeki operasyonları potansiyel olarak aksatmak için kullanılan daha geniş bir stratejinin parçası.
Broadcom raporuna göre grubun faaliyetleri öncelikle ABD, Avrupa ve Orta Doğu’daki enerji şirketlerine ve diğer kritik altyapı sektörlerine yönelikti.
Yöntemlerinin karmaşıklığı ve hedeflerinin kritik doğası, oluşturdukları yüksek düzeyde tehdidin altını çiziyor.
Bunlar, Damselfly’nin taktiklerine karşı sağlam bir savunma sağlayan uyarlanabilir, davranış, dosya ve ağ tabanlı algılama mekanizmalarını içerir.
Güvenlik firmasının çabaları, karmaşıklığı ve gizliliğiyle karakterize edilen bu tür devlet destekli siber faaliyetlerin oluşturduğu risklerin azaltılması açısından hayati önem taşıyor.
Damselfly grubunun operasyonları, devlet destekli aktörlerin hedeflerine ulaşmak için ileri teknikler ve kötü amaçlı yazılımlar kullandığı siber güvenlikte devam eden zorlukları vurgulamaktadır.
NiceCurl ve TameCat gibi özel arka kapıların yanı sıra hedef odaklı kimlik avı kampanyalarının kullanılması, bu aktörlerin hedef ağlarında kalıcılık sağlamalarına ve görevlerini yüksek derecede gizlilik ve verimlilikle yerine getirmelerine olanak tanıyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide