Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç
Özel Kötü Amaçlı Yazılım Arka Kapısı BugSleep’in Kaçınma Yetenekleri Var, Checkpoint Diyor
Akşaya Asokan (asokan_akshaya) •
16 Temmuz 2024
İran istihbarat teşkilatlarıyla bağlantıları olan bilgisayar korsanları, Orta Doğu kuruluşlarını hedef almak için gelişmiş kaçınma yeteneklerine sahip yeni bir kötü amaçlı yazılım arka kapısı kullanıyor.
Ayrıca bakınız: Web Semineri | Sosyal Mühendislik ve Kimlik Avıyla Mücadele İçin Yapabileceğiniz Her Şey
Güvenlik firması Checkpoint, BugSleep olarak adlandırılan kötü amaçlı yazılım arka kapısının, İranlı tehdit grubu MuddyWater tarafından Mayıs ayında başlayan kimlik avı e-postalarının bir parçası olarak dağıtıldığını söyledi. Checkpoint, kampanyanın özellikle İsrail kasabalarını, ayrıca havayollarını ve gazetecileri hedef aldığını ekledi.
MuddyWater, Mercury ve Static Kitten olarak da bilinir, İran İstihbarat ve Güvenlik Bakanlığı ile şüpheli bağlantıları olan küresel bir casusluk grubudur. Grup daha önce telekomünikasyon, savunma, yerel yönetim ve küresel olarak petrol ve doğal gazı hedef aldı (bkz: MuddyWater Asya ve Avrupa’daki Kritik Altyapıları Hedef Alıyor).
Son kampanya, tehdit aktörlerinin kurbanlara sektöre özgü kimlik avı tuzakları göndermesiyle başladı. Örneğin, İsrail yerel yönetimlerinden kendileri için özel olarak tasarlanmış yeni bir uygulamayı indirmelerini isteyen e-postalar gönderildi.
Kötü amaçlı dosyayı iletmek için MuddyWater, önce bir PDF dosyasını ek olarak içeren Egnyte dosya paylaşım uygulamasına özelleştirilmiş bağlantılar paylaştı. Bir kurban dosyayı açtığında, kurbanın bilgisayarına bir zip dosyası indirildi ve ardından BugSleep kötü amaçlı yazılımı hedeflenen cihaza açıldı.
Araştırmacılar, “Kötü amaçlı yazılımın dağıtılan birkaç sürümünü keşfettik, her sürüm arasındaki farklar iyileştirmeler ve hata düzeltmeleri gösteriyor (ve bazen yeni hatalar yaratıyor). Örnekler arasında kısa aralıklarla gerçekleşen bu güncellemeler, deneme yanılma yaklaşımını öneriyor” dedi.
Tehdit aktörlerinin BugSleep’in birden fazla sürümünü dağıtmasına rağmen, Checkpoint tüm varyantların öncelikle tespitten kaçınmak için tasarlandığını söyledi. Varyantlardan birinde, kötü amaçlı yazılım, işlemin Microsoft tarafından imzalanmamış görüntüleri yüklemesini önleyerek uç nokta tespitinden ve yanıtından kaçtı, dedi Checkpoint.
BugSleep daha sonra sürecin dinamik kod üretmesini veya mevcut yürütülebilir kodu değiştirmesini önlemek için başka bir fonksiyon devreye aldı.
Daha sonra kötü amaçlı yazılım, hedef cihazın cihaz bilgileri gibi sızdırılmış verileri göndermek için komuta ve kontrol sunucularını harekete geçirdi.
Örneklerden bazılarında çeşitli hatalar ve kullanılmayan kodlar bulunduğundan Checkpoint, kötü amaçlı yazılımın tehdit aktörleri tarafından hala geliştirildiğini tahmin ediyor. İsrail’deki kurbanlara ek olarak, bilgisayar korsanları Türkiye, Suudi Arabistan, Hindistan ve Portekiz’deki kuruluşları da hedef aldı.
“MuddyWater’ın Orta Doğu’da, özellikle İsrail’de artan faaliyeti, bu tehdit aktörlerinin ısrarcı doğasını vurguluyor. Artık özel bir arka kapı olan BugSleep’i de içeren kimlik avı kampanyalarını sürekli kullanmaları, tekniklerinde, taktiklerinde ve prosedürlerinde dikkate değer bir gelişmeyi işaret ediyor,” diyor araştırmacılar.