İran kökenli tehdit aktörleri CharmingCypress (aynı zamanda Charming Kitten, APT42, TA453 olarak da bilinir), gazetecilere, düşünce kuruluşlarına ve STK’lara özel önem vererek uluslararası hedeflere karşı siyasi istihbarat topladı.
CharmingCypress, kimlik avı çabalarında sıklıkla insanlara e-posta göndermek ve kötü amaçlı içeriğe bağlantılar sunmadan önce uzun süreli tartışmalar yapmak gibi yeni sosyal mühendislik tekniklerini kullanıyor.
Son zamanlarda, arka kapıları kurmak ve sahte web semineri platformlarına erişimi sınırlamak için kötü amaçlı yazılım yüklü VPN uygulamalarından yararlanıldı.
“CharmingCypress, yemin bir parçası olarak kullanmak üzere tamamen sahte bir web semineri platformu oluşturacak kadar ileri gitti. Volexity, Cyber Security News’i paylaştı.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Kötü Amaçlı Yazılım Dağıtımı için Kötü Amaçlı Yazılım Yüklü VPN Uygulamasını Kullanma
CharmingCypress’in en son hedef odaklı kimlik avı çalışması, Proofpoint’in Temmuz 2023’te ortaya çıkardığı gibi, kötü amaçlı yazılım bulaşmış bir VPN uygulamasını kötü amaçlı yazılım yaymak için kullanan bir yöntem üzerine inşa edildi.
Hedeflenen küçük bir grup kişi, sahte bir web semineri platformuna bağlantılar ve oturum açma kimlik bilgileri içeren e-postalar aldı. Portal, web sitesine erişmek için kullanılan IP adresini ve kimlik bilgilerini doğrulayacaktır.
Yalnızca saldırganın VPN istemcisini kullananlar başarıyla kimlik doğrulaması yapabilir. IP adresi kontrolü başarısız olursa hedeflerden bir VPN uygulaması indirmeleri istendi.
Bir kullanıcıya işletim sistemine bağlı olarak çeşitli uygulamalar sağlanacaktır. Son ürün, çalışan ancak kötü amaçlı yazılım bulaşmış bir VPN istemcisiydi. POWERLESS ile biten bir enfeksiyon zinciri Windows kurbanlarına sunulacak, NOKNOK ile biten bir enfeksiyon zinciri ise macOS kurbanlarına sunulacak.
Windows VPN uygulaması, CharmingCypress tarafından işletilen bir VPN uç noktasına bağlanmak için sağlanan kimlik bilgilerini ve bir OpenVPN yapılandırma dosyasını kullanır.
Araştırmacılar, “VPN’e bağlıyken portalda oturum açmaya çalışmak, IP adresi kontrolünü başarıyla geçiyor ve sahte web semineri portalına erişime izin veriyor” dedi.
“Portalda 16 kişinin profilleri dolduruldu ve belirli bir web semineriyle ilişkilendirildi. Araştırmacılar, 16 kişinin tamamının Orta Doğu’ya ilişkin politika konusunda uzman olduğunu belirtti.
Bu kampanya, Ocak ayındaki bir Microsoft gönderisinde bildirilen benzer taktikleri tartışıyor.
Volexity, şu kötü amaçlı yazılım ailelerini tespit etti: 2023 yılı boyunca ve 2024’ün başlarına kadar POWERSTAR, POWERLESS, NOKNOK, BASICSTAR ve EYEGLASS.
POWERSTAR, kötü amaçlı yazılımları dağıtmak için hedef odaklı kimlik avı tekniklerini kullanır. GÜÇSÜZ, kötü amaçlı yazılım yüklü VPN uygulama bulaşma zincirinin Windows sürümü tarafından kullanılan arka kapıdır ve NOKNOK, macOS’ta kullanılır. BASICSTAR, RAR + LNK enfeksiyonu tarafından kullanılır.
EYEGLASS, TIF dosya uzantısı için varsayılan işleyici olarak ayarlanmıştı. Bu durumda yalnızca yedek C2 mekanizması olarak düşünülmüştü.
CharmingCypress, veri hırsızlığına yardımcı olmak için Nirsoft Chrome History Viewer, RATHOLE, SNAILPROXY, CommandCam ve WinRAR ile 7-Zip’in komut satırı kopyaları gibi ek araçlar kullanır.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.