Balistik Bobcat, İran bağlantılı bir APT grubudur ve ilk olarak yaklaşık iki yıl önce ESET’teki siber güvenlik araştırmacıları bu tehdit grubunu takip etti. Aşağıda Balistik Bobcat APT grubunun diğer tüm isimlerinden bahsettik: –
- APT35
- APT42
- büyüleyici yavru kedi
- TA453
- FOSFOR
Son zamanlarda, ESET’teki siber güvenlik analistleri yeni bir Balistik Bobcat kampanyası olan Sponsor Malware’i buldu. Bu kampanya aracılığıyla tehdit aktörleri aktif olarak aşağıdaki alanlardaki çeşitli varlıkları hedef alıyor: –
- Brezilya
- İsrail
- Birleşik Arap Emirlikleri
Güvenlik uzmanları, Ballistic Bobcat APT grubu tarafından kullanılan yeni bir arka kapı olan Sponsor’u, Mayıs 2022’de İsrailli bir kurbanın sistemindeki ilginç bir örnekten ortaya çıkardı.
Zaman Çizelgesi ve Kurban Bilimi
Pandemi sırasında, aralarında DSÖ ve Gilead’ın da bulunduğu, küresel olarak COVID-19 ile ilgili kuruluşları aktif olarak hedef aldı.
Balistik Bobcat ve Sponsor arka kapı kampanyaları örtüşüyor ve araç geliştirmede açık bir model ortaya çıkıyor. Sponsorun Brezilya, İsrail ve BAE’de kullanılan ve 34 kurbanı hedef alan dört versiyonu daha bulundu.
Aşağıdaki resimde tam zaman çizelgesi verilmiştir: –
Balistik Bobcat, “Sponsor Erişimi” adlı bir kampanyayla Microsoft Exchange’in güvenlik açıklarından çoğu zaman fırsatçı bir şekilde yararlandı.
Sponsor arka kapısı, zararsız yapılandırma dosyaları ve taramalardan kaçınmak için modüler bir yaklaşım kullanıyor; bu, Ballistic Bobcat tarafından iki yılı aşkın bir süredir sıklıkla kullanılan bir taktik ve güvenliği ihlal edilmiş sistemlerde açık kaynaklı araçlar.
Bunun yanı sıra, 34 kurban arasında en fazla sayıda kişi İsrail’de bulunurken, kurbanlardan yalnızca ikisi diğer ülkelerdendi:-
Brezilya, Birleşik Arap Emirlikleri’ndeki bir tıbbi kooperatifte ve sağlık sigortası operatörlerinde, kimliği belirsiz bir kuruluşta
İsrail’de hedeflenen dikeyler
Aşağıda İsrail’de hedef alınan tüm dikeylerden bahsettik: –
- Otomotiv
- İletişim
- Mühendislik
- Finansal hizmetler
- Sağlık hizmeti
- Sigorta
- Kanun
- Üretme
- Perakende
- Teknoloji
- Telekomünikasyon
Ayrıca güvenlik analistleri, Ballistic Bobcat’in Ağustos 2021’de CISA’nın rapor ettiği araçları kullanarak İsrail sigorta pazarını vurduğunu keşfetti ve aşağıdaki IOC’leri buldu:-
- MicrosoftOutlookGüncelleme Programı
- MicrosoftOutlookUpdateSchedule.xml
- GoogleDeğişim Yönetimi
- GoogleChangeManagement.xml
Sponsor Erişimi kampanyasında, Ballistic Bobcat operatörleri tarafından çeşitli açık kaynaklı araçlar kullanıldı ve işte tam liste: –
- host2ip.exe
- RevSocks
- Mimikatz
- Armadillo PE paketleyici
- GO Basit Tünel (GOST)
- Keski
- csrss_protected.exe
- Plink (PuTTY Bağlantısı)
- WebBrowserPassView.exe
- sqlextractor.exe
- ProcDump
C++’daki sponsor arka kapıları derleme zaman damgalarını, PDB yollarını ve değişiklikleri izlemeye yönelik sürüm bilgilerini içerir. Sponsor ana bilgisayar bilgilerini toplarken, bunu C&C sunucusuna gönderir ve düğüm kimliğini node.txt dosyasına kaydeder.
Balistik Bobcat, PowerLess C&C’yi destekledi ve araçlar için birden fazla IP kullanan ve şu anda etkin olmayan yeni bir sunucuyu tanıttı.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.