Olarak bilinen tehdit aktörü Arka Kapı Diplomasisi Temmuz ve Aralık 2022 arasında İran hükümet kurumlarını hedef alan yeni bir saldırı dalgasıyla bağlantılı.
Palo Alto Networks Unit 42, takımyıldızı temalı lakabıyla aktiviteyi takip ediyor oyuncu Boğadaha önce düşmanla ilişkili olarak tanımlanan kötü amaçlı yazılım altyapısına bağlanmaya çalışan devlet alan adlarını gözlemlediğini söyledi.
APT15, KeChang, NICKEL ve Vixen Panda isimleriyle de bilinen Çinli APT grubu, en azından 2010’dan beri Kuzey Amerika, Güney Amerika, Afrika ve Orta Doğu’daki hükümet ve diplomatik kuruluşları hedef alan siber casusluk kampanyaları geçmişine sahiptir.
Slovak siber güvenlik firması ESET, Haziran 2021’de, Turian olarak bilinen özel bir implant kullanarak Afrika ve Orta Doğu’daki diplomatik kuruluşlara ve telekomünikasyon şirketlerine yönelik bilgisayar korsanlığı ekibi tarafından düzenlenen izinsiz girişleri ortaya çıkardı.
Ardından Aralık 2021’de Microsoft, 29 ülkeyi hedef alan saldırılarında grup tarafından işletilen 42 etki alanına el koyduğunu duyururken, Microsoft Exchange ve SharePoint gibi internete açık web uygulamalarını tehlikeye atmak için yama uygulanmamış sistemlere karşı açıklardan yararlanma kullandığına işaret ediyor.
Tehdit aktörü en son olarak, hedeflenen ağlara uzaktan erişim noktasına izin veren Turian’ın selefi olan Quarian’ı kullanarak Orta Doğu’daki isimsiz bir telekom şirketine yönelik bir saldırıyla ilişkilendirildi.
The Hacker News ile paylaşılan bir raporda Unit 42, Turian’ın “aktif geliştirme aşamasında olduğunu ve yalnızca Playful Taurus aktörleri tarafından kullanıldığını değerlendiriyoruz” dedi ve İran’ı öne çıkaran saldırılarda kullanılan arka kapının yeni varyantlarını keşfettiğini ekledi.
Siber güvenlik şirketi ayrıca, Dışişleri Bakanlığı ve Doğal Kaynaklar Teşkilatı da dahil olmak üzere dört farklı İran örgütünün gruba atfedilen bilinen bir komuta ve kontrol (C2) sunucusuna ulaştığını gözlemlediğini kaydetti.
“Playful Taurus tarafından kontrol edilen altyapıya yapılan bu bağlantıların sürekli günlük doğası, bu ağlarda olası bir uzlaşma olduğunu gösteriyor” dedi.
Turian arka kapısının yeni sürümleri, C2 sunucularını ayıklamak için kullanılan güncellenmiş bir şifre çözme algoritmasının yanı sıra ek gizlemeye sahiptir. Bununla birlikte, kötü amaçlı yazılımın kendisi, bağlanmak, komutları yürütmek ve ters kabuklar oluşturmak üzere C2 sunucusunu güncellemek için temel işlevler sunması açısından geneldir.
BackdoorDiplomacy’nin İran’ı hedef alma ilgisinin, ekonomik, askeri ve güvenlik işbirliğini geliştirmek için Çin ve İran arasında imzalanan 25 yıllık kapsamlı bir işbirliği anlaşması zemininde ortaya çıktığı için jeopolitik uzantıları olduğu söyleniyor.
Araştırmacılar, “Oyuncu Boğa, taktiklerini ve araçlarını geliştirmeye devam ediyor” dedi. “Turian arka kapısına ve yeni C2 altyapısına yapılan son yükseltmeler, bu aktörlerin siber casusluk kampanyalarında başarı görmeye devam ettiğini gösteriyor.”