UNC2428 olarak bilinen İran-Nexus tehdit oyuncusu, Mırıldanma Ekim 2024’te İsrail’i hedefleyen iş temalı bir sosyal mühendislik kampanyasının bir parçası olarak.
Google’ın sahip olduğu Mandiant, UNC2428’i İran ile uyumlu bir tehdit oyuncusu olarak siber casuslukla ilgili operasyonlara katılan bir tehdit aktörü olarak nitelendirdi. İzinsiz giriş setinin kötü amaçlı yazılımları “karmaşık bir aldatma teknikleri zinciri” aracılığıyla dağıttığı söyleniyor.
Şirket, “UNC2428’in sosyal mühendislik kampanyası, İsrail Savunma Yüklenicisi Rafael’den bir işe alım fırsatı olarak poz verirken bireyleri hedef aldı.” Dedi.
İlgi ifade eden bireyler, Rafael’i taklit eden bir siteye yönlendirildi, bu da işe başvurmaya yardımcı olacak bir araç indirmeleri istendiğinden.
Araç (“Rafaelconnect.exe”), kişisel bilgilerini girmek ve özgeçmişlerini göndermek için kurbana bir grafik kullanıcı arayüzü (GUI) sunan LoneFleet olarak adlandırılan bir yükleyiciydi.
Gönderildikten sonra, Murkytour Backdoor, Leafpile olarak adlandırılan bir fırlatıcı vasıtasıyla arka plan süreci olarak başlatıldı ve saldırganlara tehlikeye atılan makineye kalıcı erişim sağladı.
Mantiant, “İran-Nexus tehdit aktörleri, kötü amaçlı yazılım yürütme ve kurulumu meşru uygulamalar veya yazılım olarak gizlemek için grafik kullanıcı arayüzlerini (GUIS) dahil etti.” Dedi. “Kullanıcıya tipik bir yükleyici sunan ve kullanılan cazibenin biçimini ve işlevini taklit edecek şekilde yapılandırılmış bir GUI eklenmesi, hedeflenen bireylerden gelen şüpheleri azaltabilir.”
Kampanyanın, İsrail Ulusal Siber Müdürlüğünün Black Shadow adında bir İran tehdit oyuncusuna atfedildiği faaliyetle örtüştüğünü belirtmek gerekir.
İran İstihbarat ve Güvenlik Bakanlığı (MOI) adına faaliyet gösterdiği değerlendirilen hack grubu, akademi, turizm, iletişim, finans, ulaşım, sağlık hizmeti, hükümet ve teknoloji de dahil olmak üzere İsrail’de çok çeşitli endüstri sektörlerini hedeflediği bilinmektedir.
Maniant’a göre, UNC2428, 2024’te İsrail üzerindeki manzaralarını eğiten birçok İran tehdit faaliyet kümesinden biridir. Önde gelen bir grup, İsrail merkezli kullanıcıları tescilli pokyblight silecekiyle hedefleyen Siber Toufan’dır.
UNC3313, mızrak aktı kampanyaları aracılığıyla gözetim ve stratejik bilgi toplama operasyonları yürüten bir başka İran-Nexus tehdit grubudur. İlk olarak Şirket tarafından Şubat 2022’de belgelenen UNC3313’ün Muddywater’a bağlı olduğuna inanılıyor.
Mantiant, “Tehdit oyuncusu, popüler dosya paylaşım hizmetleri ve eğitim ve web semineri temalı kimlik avı yemlerine gömülü bağlantılar konusunda kötü amaçlı yazılımlara ev sahipliği yaptı.” Dedi. “Bu tür bir kampanyada, UNC3313, Jellybean Droper ve Candybox Backdoor’u kimlik avı operasyonlarının hedeflediği kuruluşlara ve bireylere dağıttı.”
UNC3313 tarafından monte edilen saldırılar, algılama çabalarını önlemek ve kalıcı uzaktan erişim sağlamak amacıyla çamurlu su grubunun imza taktiği olan dokuz farklı meşru uzaktan izleme ve yönetim (RMM) araçlarına büyük ölçüde eğildi.
Tehdit istihbarat firması ayrıca Temmuz 2024’te İran bağlantılı bir düşman, Cactuspal’ı Palo Alto Networks GlobalProtect uzaktan erişim yazılımı için bir yükleyici olarak geçirerek bir arka kapı kodu olarak dağıttığını gözlemlediğini söyledi.
Kurulum sihirbazı, başlatıldıktan sonra, işlemin yalnızca bir örneğinin harici bir komut ve kontrol (C2) sunucusuyla iletişim kurmadan önce çalıştığını doğrulayan .NET arka kapısını gizli bir şekilde dağıtır.
RMM araçlarının kullanılması, UNC1549 gibi İran tehdit aktörlerinin de, eylemlerinin işletme ortamlarında yaygın olan hizmetlerle karışmasını sağlamak için bulut altyapısını ticari araçlarına dahil etmek için adımlar attığı gözlemlenmiştir.
Mantiant, “Tehdit ve etki alanı yeniden kullanımı gibi tekniklere ek olarak, tehdit aktörleri C2 düğümlerini veya bulut altyapısına yüklemelerin barındırılmasının ve bulut doğal alanların kullanılmasının operasyonlarına uygulanabilecek incelemeyi azalttığını buldular.” Dedi.
İran tehdit manzarasına ilişkin herhangi bir fikir, özenli sosyal mühendislik ve kimlik bilgilerini toplama ve veri söndürme için ısmarlama kötü amaçlı yazılımlar sunma çabaları ile bilinen APT42 (AKA büyüleyici yavru kedi) olmadan eksiktir.
Maniant’a göre tehdit oyuncusu, Google, Microsoft ve Yahoo! Kimlik bilgisi hasat kampanyalarının bir parçası olarak, Google Siteleri ve Dropbox’ı Google Meet Landing Sayfaları veya Oturum Açma Sayfaları’na yönlendirmek için hedefleri yönlendirmek için kullanır.
Toplamda, siber güvenlik şirketi, İranlı aktörler tarafından 2024’te Orta Doğu’daki kampanyalarda kullanılan damlaçılar, indiriciler ve backroors da dahil olmak üzere 20’den fazla özel kötü amaçlı yazılım ailesini tanımladığını söyledi. İkinci (Dongyaffa ve Spareprig), İra Hükümeti’ni hedefleyen Iraque tarafından istihdam edildiğini söyledi.
Mantiant, “İran-Nexus tehdit aktörleri İran rejiminin çıkarları ile uyumlu siber operasyonları sürdürmeye devam ettikçe, mevcut güvenlik ortamına uyum sağlamak için metodolojilerini değiştirecekler.” Dedi.