Yakın zamanda gerçekleşen bir gelişmede, NSFOCUS Güvenlik Laboratuvarları yeni bir APT34 kimlik avı saldırısı tespit etti.
Bu operasyon sırasında, İran menşeli olduğuna inanılan ve OilRig veya Helix Kitten olarak da bilinen APT34, Ganjavi Global Marketing Services (GGMS) adlı bir pazarlama hizmetleri şirketi kimliğine büründü.
Kurban ana bilgisayarlar üzerinde sürekli kontrol elde etmek için SideTwist Truva Atı’nın bir çeşidini kullanarak işletmeleri titizlikle hedef aldılar.
APT34’e Bir Bakış
2014’ten beri faaliyet gösteren bir Gelişmiş Kalıcı Tehdit (APT) grubu olan APT34, siber casusluk ve sabotaj konusunda uzmanlaşmıştır.
Esas olarak Orta Doğu’da faaliyet gösteren bu şirketler, finans, hükümet, enerji, kimya ve telekomünikasyon gibi çeşitli sektörleri hedefliyor.
APT34, farklı hedefler için izinsiz giriş yöntemlerini uyarlayan ve hatta tedarik zinciri saldırı yeterliliğini gösteren gelişmiş saldırı yeteneklerine sahiptir.
2019’daki bir sızıntıda birincil saldırı araçlarının açığa çıkmasının ardından APT34, RDAT, SideTwist ve Saitama gibi yeni araçlar geliştirmeye başladı.
Aldatıcı Yem
Bu işlem için APT34, “GGMS Genel Bakış.doc” başlıklı bir tuzak dosyası kullandı. Bu belge, görünüşte şirketlere odaklanarak küresel pazarlama hizmetleri sağlayan hayali bir “Ganjavi Küresel Pazarlama Hizmetleri” şirketini tanıtıyordu.
Özellikle ABD’deki iki yükleme kaydı, APT34’ün ABD’deki işletmeleri hedef alma niyetini ortaya koyuyor.
Saldırı Uygulaması
Saldırı, bazı farklılıklara rağmen bilinen bir modeli izledi. Tuzak dosyası içinde gizlenen kötü amaçlı bir makro kod, dağıtım ortamını düzenledi.
Bu makro kod, Truva atı SystemFailureReporter.exe dosyasını base64 biçimindeki belgeden çıkardı, %LOCALAPPDATA%\SystemFailureReporter\ dizinine yerleştirdi ve aynı dizinde Truva atının etkinleştirme anahtarı olarak hizmet veren bir update.xml metin dosyası oluşturdu.
Ardından kötü amaçlı makro kod, Truva atını her beş dakikada bir çağırarak sürekli çalışmasını sağlayan “SystemFailureReporter” adı verilen zamanlanmış bir görev oluşturdu.
SideTwist’in bir çeşidi olarak tanımlanan Truva atı, 11.0.188.38:443 adresindeki bir CnC sunucusuyla HTTP aracılığıyla iletişim kuruyor.
Truva atının anatomisi
SideTwist Truva Atı’nın GCC kullanılarak derlenen bu çeşidi, önceki yinelemelerle benzerlikler paylaşıyor ancak derlemede farklılıklar sergiliyor.
Temel işlevleri CnC sunucusuyla iletişimi, komutların yürütülmesini ve dosya yüklemeyi içerir. Çalıştırıldıktan sonra Truva atı, korumalı alan karşıtı önlemler kullanarak bir “update.xml” dosyasının varlığını kontrol eder.
Benzersiz bir kimlik oluşturmak için kurbanın ana bilgisayar bilgilerini toplar ve CnC sunucusuyla iletişimi başlatır.
CnC iletişimi, “notmersenne” dizisinden türetilen çok baytlı bir XOR anahtarı kullanılarak kodu çözülen şifrelenmiş talimatlar içerir. Bu talimatlar, kabuk komutlarını çalıştırmaktan dosyaları indirmeye/yüklemeye kadar çeşitli eylemleri belirler.
İlginç bir şekilde, bu APT34 kampanyası 11.0.188.38 CnC IP adresini kullandı. Özellikle 443 numaralı bağlantı noktasının yanıt vermemesi, CnC sunucusunun yapısını tespit etmeyi zorlaştırıyordu.
Araştırma, bu IP adresinin Columbus, Ohio’daki Amerika Birleşik Devletleri Savunma Bakanlığı Ağ Bilgi Merkezi’ne ait olduğunu ortaya çıkardı.
Bu IP seçimi, APT34’ün bu işlemi sonraki saldırılarda farklı, gizli bir CnC adresini etkinleştirmek amacıyla test etmek için kullanmış olabileceğini gösteriyor.
APT34’ün son saldırısı, GCC tabanlı SideTwist Truva atı çeşidini ve gizemli bir CnC IP adresini tanıtırken tutarlı metodolojisini de ortaya koyuyor. Bu özellik, gerçek CnC adresi etkinleştirilene kadar saldırı kaynaklarını koruyan bir test aşamasını ima eder.
Bu stratejik yaklaşım, APT gruplarının uyum sağlama ve kaçamak yapma yeteneklerinin altını çiziyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.