olarak bilinen üretken İran ulus-devlet grubu sevimli yavru kedi adlı yeni bir kötü amaçlı yazılımla ABD, Avrupa, Orta Doğu ve Hindistan’daki birden fazla kurbanı hedef aldı. BellaCiaosürekli genişleyen özel araçlar listesine ekleniyor.
Bitdefender Labs tarafından keşfedilen BellaCiao, aktör tarafından kontrol edilen bir sunucudan alınan komutlara dayalı olarak kurban makineye diğer kötü amaçlı yazılım yüklerini teslim edebilen “kişiselleştirilmiş bir damlalıktır”.
Rumen siber güvenlik firması The Hacker News ile paylaştığı bir raporda, “Toplanan her örnek belirli bir kurbana bağlıydı ve şirket adı, özel hazırlanmış alt alanlar veya ilgili genel IP adresi gibi sabit kodlanmış bilgiler içeriyordu.”
APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (née Phosphorus), TA453 ve Yellow Garuda olarak da bilinen Charming Kitten, İslam Devrim Muhafızları Birliği (IRGC) ile ilişkili İran devlet destekli bir APT grubudur.
Grup, yıllar boyunca çok çeşitli sektör dikeylerine ait sistemlerde arka kapılar kurmak için çeşitli araçlar kullandı.
Gelişme, tehdit aktörünün Microsoft tarafından 2021’in sonları ile 2022’nin ortaları arasında harmPower, Drokbk ve Soldier gibi ısmarlama kötü amaçlı yazılımlar kullanarak ABD’deki kritik altyapı varlıklarına yönelik misilleme saldırılarına atfedilmesiyle geldi.
Daha sonra bu haftanın başlarında, Check Point, Mint Sandstorm’un PowerLess implantının güncellenmiş bir sürümünü Irak temalı kimlik avı tuzakları kullanarak İsrail’de bulunan kuruluşları vurmak için kullandığını ifşa etti.
Bitdefender araştırmacısı Martin Zugec, “‘Uyarlanmış’ kötü amaçlı yazılım olarak da bilinen özel olarak geliştirilmiş kötü amaçlı yazılımların tespit edilmesi genellikle daha zordur çünkü tespit edilmekten kaçınmak için özel olarak tasarlanmıştır ve benzersiz kod içerir.”
Microsoft Exchange Server veya Zoho ManageEngine gibi internete açık uygulamalardaki bilinen güvenlik açıklarından yararlanmayı gerektirdiğinden şüphelenilse de, ilk izinsiz girişi gerçekleştirmek için kullanılan kesin çalışma yöntemi şu anda belirlenememiştir.
Başarılı bir ihlali, tehdit aktörünün bir PowerShell komutu kullanarak Microsoft Defender’ı devre dışı bırakmaya çalışması ve bir hizmet örneği aracılığıyla ana bilgisayarda kalıcılık oluşturması takip eder.
Bitdefender, Charming Kitten’ın gelen talimatları işleyebilen ve kimlik bilgilerini dışarı sızdırabilen iki İnternet Bilgi Servisi (IIS) modülü indirdiğini de gözlemlediğini söyledi.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
BellaCiao, kendi adına, bir alt etki alanını bir IP adresine çözümlemek için her 24 saatte bir DNS isteği gerçekleştirmesi ve ardından güvenliği ihlal edilmiş sistemde yürütülecek komutları ayıklamak için ayrıştırılmasıyla da dikkat çekiyor.
Zugec, “Çözülmüş IP adresi, gerçek genel IP adresi gibidir, ancak küçük değişikliklerle BellaCiao’nun daha fazla talimat almasına izin verir,” diye açıkladı Zugec.
Çözümlenen IP adresine bağlı olarak, saldırı zinciri, rasgele dosyaların yüklenmesi ve indirilmesinin yanı sıra komutların çalıştırılmasını destekleyen bir web kabuğunun konuşlandırılmasına yol açar.
Ayrıca, uzak bir sunucuya ters proxy bağlantısı kurmak için tasarlanmış ve benzer arka kapı özelliklerini uygulayan bir Plink aracının (PuTTY için bir komut satırı yardımcı programı) yerine web kabuğunun yerini alan ikinci bir BellaCiao çeşidi de tespit edildi.
Zugec, “Modern saldırılara karşı en iyi koruma, derinlemesine bir savunma mimarisinin uygulanmasını içerir.” “Bu süreçteki ilk adım, saldırganların sistemlerinize erişmek için kullanabilecekleri giriş noktalarının sayısını sınırlamayı ve yeni keşfedilen güvenlik açıklarının hızla yamalanmasını içeren saldırı yüzeyini azaltmaktır.”