Ünlü İran ulus-devlet grubu Charming Kitten, BellaCiao adlı yeni bir kötü amaçlı yazılımla Avrupa, ABD, Hindistan ve Orta Doğu’daki kurbanları aktif olarak hedefliyor. Kötü amaçlı yazılım, kapsamlı özel araç setindeki en son sürümdür.
BellaCiao, kötü amaçlı yazılımı üçüncü taraf aktör kontrollü bir sunucu tarafından verilen komutlara dayalı olarak kurban makineye kötü amaçlı yazılım yükleri iletebilen “kişiselleştirilmiş bir damlalık” olarak tanımlayan Bitdefender tarafından keşfedildi.
Charming Kitten, İslam Devrim Muhafızları Kolordusu ile ilişkili, İran devlet destekli bir APT grubudur. APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm, TA453 ve Yellow Garuda olarak da bilinirler.
Comparitech Güvenlik ve Gizlilik Avukatı Paul Bischoff şunları kaydetti: “IRGC, kritik ve yüksek değerli hedeflere karşı karmaşık saldırılar başlatan devlet destekli bilgisayar korsanlarıdır. Onlar, kolay meyve arayan sıradan siber suçlular değiller.”
Grup, çok çeşitli endüstrilerde sistemlerde arka kapıları devreye almanın birçok yolunu bulması ile tanınır.
Bischoff şöyle devam ediyor: “Antivirüs yardımcı olmayabilir [BellaCiao] çünkü kötü amaçlı yazılım kurbanlar hakkında sabit kodlanmış bilgiler içerir, bu nedenle imzalar hiçbir zaman aynı olmaz. Bunun yerine kuruluşların etki alanı adlarını, dosya adlarını ve yolları, PowerShell komut dosyası sağlamalarını ve IP adreslerini izlemesi gerekir. Ayrıca, BellaCiao ve diğer kötü amaçlı yazılımların yararlanabileceği sıfır günü ortadan kaldırmak için Microsoft Exchange sunucularını güncellemeleri gerekiyor.
Daha önce Charming Kitten, Microsoft tarafından 2021’in sonları ile 2022’nin ortaları arasında Drokbk, Soldier ve CharmPower dahil olmak üzere ısmarlama kötü amaçlı yazılımların kullanıldığı ABD’deki kritik ulusal altyapı (CNI) birimlerini hedef alan misilleme amaçlı saldırılarla ilişkilendirilmişti.
KnowBe4 Güvenlik Farkındalığı Sözcüsü James McQuiggan şunları ekledi: “Bella Ciao’nun keşfi, her zaman var olan siber saldırı tehdidini ve kuruluşların sistemlerini koruma konusunda dikkatli olmaları gerektiğini hatırlatıyor. Tehdit istihbaratı ve avlama yoluyla kuruluşlar, güvenlik açığı testi ve iyileştirme yoluyla proaktif önlemler almalı, yama uygulamalı ve harici sistemlere yönelik güvenlik güncellemelerinde güncel kalmalı ve siber güvenliği ve zengin bir güvenlik kültürü ortamını akılda tutmak için kullanıcılarını eğitmeli ve değerlendirmelidir.
Bella Ciao’nun bir ağ üzerinden yayılma ve birden çok sisteme hızlı bir şekilde bulaşma yeteneği, hızlı bir şekilde yayılabileceği ve yaygın hasara neden olabileceği için özellikle büyük ağlara sahip kuruluşlar için tehlikelidir. Kuruluşlar, güvenlik duvarlarının, MFA’nın ve yamalanmış sistemlerin teknoloji yetenekleriyle derinlemesine bir savunma stratejisi uygulayabilir. Kullanıcıların tanıdıkları kişilerden gelen garip e-posta isteklerinin farkında olması ve sağlıklı bir şüphecilik düzeyine sahip olması çok önemlidir.”
Geçen yıl, APT grubu, yüksek profilli İsrailli ve ABD’li yetkilileri hedef alan bir İran mızraklı kimlik avı kampanyasıyla bağlantılıydı.