APT35 (diğer adıyla Charming Kitten, Imperial Kitten veya Tortoiseshell) olarak bilinen İran bağlantılı tehdit grubu, siber saldırı cephaneliğini, eylemlerini gizlemek için geliştirilmiş yeteneklerle ve ayrıca bir mızraklı kimlik avı kampanyası yoluyla dağıttığı yükseltilmiş bir özel arka kapıyla güncelledi.
Gelişmiş Kalıcı Tehdit’in (APT) İran dışında faaliyet gösterdiği ve öncelikli olarak hesap kimlik bilgilerini ve ardından başarılı bir şekilde kimlik avı yaptıkları kişilerin e-postalarını tehlikeye atarak istihbarat toplamakla ilgili olduğu iddia edildi.
Volexity tarafından yayınlanan bir blog gönderisine göre, grup yakın zamanda İsrailli bir gazeteciyi hedef alan bir “rapor taslağı” cazibesiyle hedefli bir kimlik avı kampanyası girişiminde bulundu. “Taslak rapor”, bir arka kapı indiren kötü amaçlı bir LNK dosyası içeren parola korumalı bir RAR dosyasıydı.
Olay, oldukça hedefli bir saldırıydı; Saldırganlar kurbana kötü amaçlı yazılım göndermeden önce, kişinin ABD dış politikasıyla ilgili yazdıkları bir belgeyi incelemeye açık olup olmayacağını sordu. Hedef, gazetecilik iş kolunda alışılmadık bir talep olmadığı için bunu yapmayı kabul etti, ancak APT35 bunu hemen göndermedi – bunun yerine, saldırganlar, bir soru listesi içeren başka bir iyi niyetli e-posta ile etkileşimi sürdürdüler. hedef daha sonra cevaplarla karşılık verdi. Birkaç gün süren zararsız ve meşru gibi görünen etkileşimin ardından, saldırganlar sonunda kötü amaçlı yazılım yüklü “taslak raporu” gönderdiler.
Darktrace tehdit analizi küresel başkanı Toby Lewis, APT35’in hedefleme profilinin İran hükümetiyle bağlantılı bir gruptan görmeyi beklediğiniz temaya çok uygun olduğunu söylüyor. Diyor ki: “Bu, ısmarlamaya, gizli olmaya ve radarın altında kalmaya çalışan bir grup ve bunu yapmak için, aynı zamanda yatırımın geri dönüşünü iyileştirmeye çalışmak için sosyal mühendisliğinize gerçekten odaklanacaksınız.”
PowerStar Kötü Amaçlı Yazılımları ve Gelişen Spear-Phishing Teknikleri
Bu en son kampanyada, parola korumalı bir .RAR dosyası içinde bir .LNK dosyası içeren bir e-posta yoluyla gönderdiği, CharmPower olarak bilinen bilinen arka kapılarından birinin güncellenmiş bir sürümü olan PowerStar kötü amaçlı yazılımını teslim etti.
Volexity’nin raporuna göre, bir kullanıcı tarafından yürütüldüğünde, .LNK dosyası Backblaze barındırma sağlayıcısından ve saldırgan kontrollü altyapıdan PowerStar’ı indirir. PowerStar daha sonra güvenliği ihlal edilmiş makineden az miktarda sistem bilgisi toplar ve bunu bir POST isteği yoluyla Backblaze’den indirilen bir komut ve kontrol (C2) adresine gönderir.
Volexity, PowerStar’ın bu varyantının özellikle karmaşık olduğuna inanıyor ve kötü amaçlı yazılım operatörü için basit eylemleri otomatikleştiren özel bir sunucu tarafı bileşeni tarafından desteklendiğinden şüpheleniyor. Ayrıca, uzaktan barındırılan dosyalardan bir şifre çözme işlevi indirilir; bu, kötü amaçlı yazılımın bellek dışında algılanmasını engeller ve kötü amaçlı yazılımın temel işlevlerinin gelecekte analiz edilmesini önlemek için saldırgana bir kapatma anahtarı verir.
Şirket, “PowerStar ile Charming Kitten, şifre çözme yöntemini ilk koddan ayrı olarak sunarak ve asla diske yazmayarak kötü amaçlı yazılımlarının analiz ve tespite maruz kalma riskini sınırlamaya çalıştı” dedi. “Bu, operasyonel bir korkuluk görevi görme avantajına sahiptir, çünkü şifre çözme yöntemini komut ve kontrol sunucusundan ayırmak, karşılık gelen PowerStar yükünün gelecekte başarılı bir şekilde şifresini çözmesini engeller.”
Lewis, APT grupları için yatırım getirisi arayışının bazen nispeten karmaşık olmayan, düşük çaba gerektiren kampanyalara yol açtığını, ancak daha sık olarak, “hedeflerine ulaşmak için ihtiyaç duydukları kadar sofistike olacak gruplarınız var” diyor. Bunun anlamı, gamı çalıştırabilir: Bazıları, başka birinden aldıkları bir şeyi kullanmak yerine, sıfır gün geliştirebilecek; diğerleri altyapılarını nasıl yönettikleri ve kontrol ettikleri konusunda karmaşıklık göstereceklerdir.
İkincisi, APT35’teki durumdur. “Bu grubun kullandığı ticari gemiye sahip olduğunuzda, özel yükleri etkili bir şekilde indirirken, üçüncü taraf hizmetlerinden farklı modülleri devre dışı bırakıyorsunuz” diyor. “Her farklı yük biraz farklı olacak, biraz ayarlanacak ve biraz ayarlanacak ve … bu tür bir yaklaşım kesinlikle görmeyi beklediğiniz şey.”
Yine de Volexity araştırmacıları, APT’den gelen operasyonları düzenli olarak gözlemlediklerini, ancak grubun saldırılarının bir parçası olarak nadiren kötü amaçlı yazılım kullandığını bulduğunu söyledi. Firmaya göre, “Operasyonlarında kötü amaçlı yazılımların bu tutumlu kullanımı muhtemelen saldırılarını izleme zorluğunu artırıyor.”
APT35, on yılı aşkın bir süredir aktiftir. Darktrace’in 2021 tarihli bir bloguna göre, APT35 o zamanlar Kuzey Amerika ve Orta Doğu’daki kuruluşlara ve yetkililere karşı kapsamlı kampanyalar başlatmıştı; kamuya açık atıf, APT35’i İran merkezli bir ulus devlet tehdit aktörü olarak nitelendirdi. Son kampanyaların, İran’ın muhalifleri adam kaçırma ve diğer kinetik operasyonlar için potansiyel fiziksel olarak hedeflemesine hizmet ettiğinden şüpheleniliyordu.