Araştırmacılar, Peach Sandstorm olarak bilinen İran devlet destekli tehdit aktörü tarafından gerçekleştirilen yeni bir faaliyet dalgasını ortaya çıkardı. Nisan ve Temmuz 2024 arasında grup, ABD ve Birleşik Arap Emirlikleri’ndeki uydu, iletişim, petrol ve gaz ve hükümet sektörlerini hedef alan operasyonlarda Tickler adlı özel çok aşamalı bir arka kapı konuşlandırdı.
Şeftali Kum Fırtınası Operasyonları ve İran Derneği
Microsoft Threat Intelligence’ın, İran İslam Devrim Muhafızları Ordusu (IRGC) adına faaliyet gösterdiğini değerlendirdiği Peach Sandstorm’un, yüksek öğrenim, uydu ve savunma sektörlerindeki kuruluşları hedef almak için parola püskürtme saldırıları ve LinkedIn tabanlı istihbarat toplama geçmişi bulunuyor.
Nisan ve Temmuz 2024 arasında grup, araştırmacılar tarafından iki ayrı örnekte tespit edilen ve tehlikeye atılmış bilgisayarlardan ağ bilgilerini toplayıp saldırganların kontrolündeki komuta ve kontrol (C2) sunucularına göndermek için kullanılan Tickler arka kapısını konuşlandırdı.
Peach Sandstorm’un ayrıca DLL yan yükleme saldırıları için kullanılabilecek meşru Windows ikili dosyaları da dahil olmak üzere ek yükler indirdiği gözlemlendi. Araştırmacılar, Peach Sandstorm’un bu C2 altyapısını barındırmak için Azure Students hesapları gibi sahte Azure abonelikleri ve kaynakları oluşturduğunu gözlemledi.
Tickler Kötü Amaçlı Yazılım Analizi
Tickler kötü amaçlı yazılımının tanımlanan iki örneği de 64-bit C/C++ tabanlı yerel PE dosyalarıydı. İlk örnek, yem olarak kullanılan iyi huylu PDF belgelerinin yanında bir arşiv dosyasında bulunuyordu.
Çalıştırma sırasında, ilk Tickler çeşidi, kernel32.dll kütüphanesinin bellek içi adresini bulmak için işlem ortamı bloğu (PEB) geçişi gerçekleştirir ve daha sonra bu adresi kullanarak ana bilgisayardan ağ bilgilerini toplar ve bunları C2 sunucusuna gönderir.
İkinci Tickler örneği, DLL yan yüklemesi için kullanılan meşru Windows ikili dosyaları ve bir kayıt defteri çalıştırma anahtarı ekleyerek kalıcılığı ayarlayan bir toplu iş betiği de dahil olmak üzere ek yükler indiren bir Truva atı yükleyicisidir.
Bu arka kapı yetenekleri Peach Sandstorm’un tehlikeye atılmış ağlara erişimini sürdürmesine ve yanal hareket, veri sızdırma ve ek araçların dağıtımı gibi daha fazla kötü amaçlı etkinlik gerçekleştirmesine olanak tanır. Şirket, etkilenen kuruluşları bilgilendirmek ve kötü amaçlı Azure kaynaklarını kapatmak da dahil olmak üzere bu etkinliği bozmak için harekete geçti.
Şeftali Kum Fırtınasına Karşı Koruma
Araştırmacılar, kuruluşların Peach Sandstorm’un gelişen taktiklerine karşı savunma yapmalarına yardımcı olmak için şunları öneriyor:
- Bulut ve şirket içi hesapları korumak için çok faktörlü kimlik doğrulama gibi güçlü erişim kontrolleri uygulayın.
- Parola püskürtme saldırıları ve bulut kaynakları oluşturmak için ele geçirilmiş hesapların kullanımı da dahil olmak üzere şüpheli etkinlikleri izleyin.
- Çalışanlarınızı, özellikle yükseköğrenim, uydu ve savunma sektörlerini hedef alan sosyal mühendislik tehditleri konusunda eğitin.
- Potansiyel Peach Sandstorm saldırılarını tespit etmek ve bunlara yanıt vermek için tehdit koruma çözümlerini devreye alın.