.jpg)
İran İslam Cumhuriyeti’nin sponsor olduğu bir tehdit aktörü, yeni bir kötü amaçlı yazılım indiricisi ve gelişmekte olan yeni bir enfeksiyon yöntemiyle denizcilik, denizcilik ve lojistik sektörlerinde faaliyet gösteren Akdeniz kuruluşlarına karşı su kuyusu saldırıları kullanıyor.
PricewaterhouseCoopers’ın bu haftaki bir blog gönderisine göre, bu son taktikler ve araçlar Tortoiseshell, Imperial Kitten, TA456, Crimson Sandstorm ve Yellow Liderc olarak bilinen grup için bazı bakımlardan bir devamı, diğer bakımlardan ise bir evrimi temsil ediyor. İslam Devrim Muhafızları’nın desteklediği tehdit aktörünün daha önce dünya çapındaki casusluk kampanyalarında sulama delikleri, kimlik avı alanları, yüksek hedefli e-postalar, sahte sosyal medya hesapları ve daha fazlasını kullandığı kaydedildi.
Yellow Liderc’in Son Kampanyası
Yellow Liderc, 2022’den bu yana meşru web sitelerinin güvenliğini ihlal ediyor ve bunları kötü amaçlı JavaScript eklemek için kullanıyor. JavaScript, farkında olmadan ziyaretçilerin parmak izlerini alarak konumları, cihazları, ziyaret zamanları vb. ayrıntıları yakalar. Bir ziyaretçi belirli bir profille (bu durumda, Akdeniz’de denizcilik, lojistik ve nakliye ile ilgili kuruluşlar) eşleşirse, kendisine daha fazla kötü amaçlı yazılım sunulacak.
Söz konusu kötü amaçlı yazılım, e-postayı komut ve kontrol (C2) iletişimi aracı olarak kullanan, .NET ile yazılmış bir dinamik bağlantı kitaplığı (DLL) olan “IMAPLoader”dır.
Bu yeni örnek, işlev açısından birçok açıdan Yellow Liderc’in önceki yükleyicilerine benziyor. Bununla birlikte, gelişmiş enfeksiyon yöntemiyle öne çıkıyor: “uygulama etki alanı yöneticisi enjeksiyonu” olarak bilinen bir teknik. İlk olarak 2020’de “GhostLoader” adı verilen bir kavram kanıtlama (PoC) ile gösterilen bilgisayar korsanları veya kırmızı ekip üyeleri, bunu bir Windows makinesine yüklenen bir DLL veya yürütülebilir dosyayı algılamak için tasarlanmış araçları atlatmak için kullanabilir.
IMAPLoader, kendisini yüksek değerli sayılan bir ana bilgisayara sinsice enjekte ettikten sonra, saldırganların Rusya tarafından barındırılan, kulağa oldukça Amerikan e-posta adresleri olan levilum ile iletişim kurar.[@]yandex.com ve brodyheywood[@]yandex – daha fazla yükün bulunduğu yer.
Sarı Liderc’in Taktikleri ve Hedefleri Değişiyor
Yellow Liderc’e karşı sadece bu enjeksiyon yöntemini veya bu kötü amaçlı yazılımı hesaba katarak savunma yapmaya çalışan herkes yetersiz kalacaktır. Grubun yıllar boyunca çeşitli taktikler, teknikler ve prosedürler arasında geçiş yaptığı ve bunları birleştirdiği biliniyor.
Proofpoint’in kıdemli tehdit araştırmacısı Joshua Miller, “Daha sık ve son zamanlarda gördüğümüz şey keşif e-postalarıdır” diyor. 2021’den bu yana, meşru kuruluşların kimliğine bürünen sahte haber bültenlerine kötü amaçlı bağlantılar eklemek için açık kaynaklı kırmızı takım aracı GoPhish’i kullandığını söylüyor. Ama aynı zamanda cephaneliğinde daha tuhaf stratejiler de var. 2021’de Proofpoint, bir havacılık ve uzay şirketindeki belirli bir çalışanın kimlik avını yapmak için Marcella Flores adında bir kadın gibi davrandıkları, yıllar süren ayrıntılı bir hileyi anlattı.
Son zamanlarda Proofpoint, aynı APT içerisinde, bir Avrupa enerji şirketinin sağlık, teknoloji ve nükleer bölümündeki çalışanları ve kuruluşları hedef alan benzersiz bir kümelenme gözlemledi. PwC’ye göre, bu durum yalnızca şu ana kadar adı geçen tüm sektörler ve bölgeler için değil, aynı zamanda Orta Doğu, Güney Asya ve Kuzey ve Güney Asya gibi uzak ve geniş bölgelerdeki otomotiv, savunma ve BT endüstrileri için de süregelen bir tehdit olmaya devam ediyor. Güney Amerika.
Belki de Sarı Liderc saldırısının tek tutarlı unsurları, beklenen e-posta göndericisi, haber bülteni veya web sitesi ile gerçek gönderen veya bunların iletildiği deneyim arasındaki küçük farklılıklardır.
Miller, “Olağandışı ağ trafiğine bakın” tavsiyesinde bulunuyor ve şüpheli e-postalara dikkat edin. “Kimin e-posta gönderdiğini kontrol etmek önemli. Bunu her zaman söylediğimizi biliyorum ama bu doğru ve bu tür bir durum için önemli.”