Charming Kiten’in Yeni Arka Kapı ‘Sponsoru’ Brezilya, İsrail ve BAE’yi Hedefliyor


11 Eylül 2023THNSiber Casusluk / Kötü Amaçlı Yazılım

Arka Kapı Kötü Amaçlı Yazılımı

Charming Kiten olarak bilinen İranlı tehdit aktörü, Sponsor adlı daha önce belgelenmemiş bir arka kapıyı kullanarak Brezilya, İsrail ve BAE’deki farklı kuruluşları hedef alan yeni bir saldırı dalgasıyla ilişkilendirildi.

Slovak siber güvenlik firması kümeyi bu isim altında takip ediyor Balistik Bobcat. Mağduriyet modelleri, grubun öncelikli olarak eğitim, hükümet ve sağlık kuruluşlarının yanı sıra insan hakları aktivistleri ve gazetecileri hedef aldığını gösteriyor.

Bugüne kadar en az 34 Sponsor kurbanı tespit edildi ve ilk dağıtım örnekleri Eylül 2021’e kadar uzanıyor.

ESET araştırmacısı Adam Burgher bugün yayınlanan yeni bir raporda “Sponsor arka kapısı diskte depolanan yapılandırma dosyalarını kullanıyor” dedi. “Bu dosyalar, toplu iş dosyaları tarafından gizlice dağıtılıyor ve zararsız görünecek şekilde kasıtlı olarak tasarlandı, böylece tarama motorları tarafından tespit edilmekten kurtulmaya çalışılıyor.”

YAKLAŞAN WEBİNAR

Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması

MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin

Becerilerinizi Güçlendirin

Sponsor Erişimi olarak adlandırılan kampanya, Kasım 2021’de Avustralya, Birleşik Krallık ve ABD tarafından yayınlanan bir öneriyi hatırlatarak, uzlaşma sonrası eylemler gerçekleştirmek için internete açık Microsoft Exchange sunucularındaki bilinen güvenlik açıklarından fırsatçı bir şekilde yararlanarak ilk erişimin elde edilmesini içeriyor.

ESET tarafından ayrıntılı olarak açıklanan bir olayda, Ağustos 2021’de bir sigorta pazarını işleten kimliği belirsiz bir İsrail şirketine, PowerLess, Plink ve Go tabanlı açık kaynak kullanım sonrası gibi sonraki aşama yüklerini sunmak için düşman tarafından sızıldığı söyleniyor. Araç seti önümüzdeki birkaç ay içinde Merlin’i aradı.

Arka Kapı Kötü Amaçlı Yazılımı

“Merlin temsilcisi, yeni bir çağrıya geri çağrılan bir Meterpreter ters kabuğunu çalıştırdı. [command-and-control] Burgher şöyle konuştu: “12 Aralık 2021’de ters kabuk, install.bat adlı bir toplu iş dosyasını düşürdü ve toplu iş dosyasını çalıştırdıktan birkaç dakika sonra Balistik Bobcat operatörleri en yeni arka kapıları olan Sponsor’u devreye soktu.”

C++ ile yazılan Sponsor, ana bilgisayar bilgilerini toplamak ve uzak bir sunucudan alınan talimatları işlemek ve sonuçları sunucuya geri göndermek üzere tasarlanmıştır. Buna komut ve dosya yürütme, dosya indirme ve saldırgan tarafından kontrol edilen sunucuların listesini güncelleme dahildir.

Burgher, “Balistik Bobcat, internete açık Microsoft Exchange sunucularındaki yamalanmamış güvenlik açıkları ile fırsat hedeflerini arayarak tarama ve yararlanma modeli üzerinde çalışmaya devam ediyor” dedi. “Grup, Sponsor arka kapısı da dahil olmak üzere çeşitli özel uygulamalarla desteklenen çeşitli açık kaynaklı araç setini kullanmaya devam ediyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link