Bilgisayar korsanları, önemli araştırma verilerine, fikri mülkiyet haklarına ve son derece hassas bilgilere yasa dışı erişim sağlamak için sıklıkla araştırmacıları hedef alır.
Tehdit aktörleri bu bilgileri ekonomik casusluk, rekabet avantajı veya verileri karaborsada satmak gibi çeşitli yasa dışı amaçlarla kullanabilir.
Microsoft’taki siber güvenlik araştırmacıları yakın zamanda Mint Sandstorm’un arkasındaki tehdit aktörlerinin yeni hackleme araçlarıyla araştırmacılara aktif olarak saldırdığını keşfetti.
İran’ın Devrim Muhafızları ile bağlantılı olan Mint Sandstorm (PHOSPHORUS), Kasım 2023’ten bu yana MediaPL’i dağıtmak için özel kimlik avı kullanarak Belçika, Fransa, Gazze, İsrail, Birleşik Krallık ve ABD’deki üniversiteler ve araştırma kuruluşlarındaki yüksek profilli kişileri aktif olarak hedef alıyor. arka kapı.
Bu tehdit grubunun operatörleri, güvenliğe ciddi bir tehdit oluşturan tehlikeye atılmış ortamlara uyum sağlayan ve bu ortamlarda varlığını sürdüren yüksek vasıflı sosyal mühendislerdir.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Nane Kum Fırtınası Araştırmacılara Saldırıyor
Mint Sandstorm’un en son kampanyası, saldırıya uğramış e-posta hesaplarıyla kimlik avı yapmak, sunucularına bağlanmak için curl komutlarını kullanmak ve MediaPl arka kapısını dağıtmak gibi yeni stratejileri gösteriyor.
Kötü amaçlı içerik yayınlamadan önce güven kazanmak için kişiselleştirilmiş kimlik avı tuzakları ve masum ilk e-postalar kullanarak tanınmış kişileri taklit ederler.
Saldırıya uğramış ancak orijinal e-posta hesaplarının kullanılması, Mint Sandstorm’un meşruiyetini güçlendirir ve bu, kampanyanın başarısı için kritik öneme sahiptir.
Mint Sandstorm’un kampanyasındaki belgeleri incelemeyi kabul eden hedefler, bulut-belge-düzenleme gibi kötü amaçlı alan adlarına bağlantılar içeren takip e-postaları aldı.[.]render’ı geri almak[.]com.
Bu alanlar RAR arşivlerini barındırıyordu ve açıldığında .pdf dosyasına açılıyordu. kötü amaçlı dosyaları aksaklıktan kurtarmak için curl komutlarını çalıştıran dosyaları bağlayın[.]ben ve supabase[.]co.
Microsoft, .vbs komut dosyaları ve kullanıcı arayüzü olmayan eylemler için kullanılan meşru bir araç olan NirCmd’nin yeniden adlandırılmış sürümleri de dahil olmak üzere çeşitli dosyalar tespit etti.
Mint Sandstorm Kalıcılık’ı kullandı. vbs’nin kayıt defteri anahtarına bir.vbs dosyası eklenmesi veya supabase’den bir.txt dosyasını indirmek için zamanlanmış bir görev oluşturulması yoluyla devam etmesi[. ]co.
Cihaz etkinliğini documentLogger.txt gibi dosyalara kaydettiler ve özel arka kapılar, MediaPl ve MischiefTut’u bıraktılar. Burada MediaPl, iletişimi şifreleyen ve C2 bilgisi için görüntüleri yöneten bir Windows Media Player olarak gizlenmiştir.
Ayrıca kendini sonlandırabilecek, C2 iletişimini yeniden deneyebilecek ve komutları yürütebilecek donanıma sahiptir. MischiefTut, bu gelişmiş kampanyada temel yetenekler sunan PowerShell tabanlı bir arka kapıdır.
Mint Sandstorm’un uzaktan erişim yeteneği, sistem gizliliğine yönelik bir tehdit oluşturarak, hedeflenen kuruluşlar için yasal ve itibar açısından sonuçları riske atıyor.
Microsoft, müşterilerin Mint Sandstorm’un bu sabırlı ve yetenekli alt grubuna karşı savunma yapmalarını sağlamak için algılamayı geliştiriyor.
Öneriler
Aşağıda, güvenlik araştırmacıları tarafından sağlanan tüm önerilerden bahsettik: –
- Gerçekçi simüle edilmiş kimlik avı ve parola saldırıları için Microsoft Defender’ın Saldırı Simülatöründen yararlanın.
- Yazım hataları, sahte uygulama ayrıntıları ve şüpheli URL’ler gibi kimlik avı ipuçlarını tanımaya odaklanın.
- Microsoft Edge ve SmartScreen özellikli tarayıcıları kullandığınızdan emin olun.
- Zararlı etki alanlarına ve IP adreslerine yapılan bağlantıları engellemek için ağ korumasını etkinleştirdiğinizden emin olun.
- Microsoft Defender Antivirus’te veya antivirüs aracınızda, bulut tarafından sağlanan korumayı etkinleştirdiğinizden emin olun.
Microsoft’taki siber güvenlik araştırmacıları tarafından sağlanan tüm önerilerin takip edilmesi ve uygulanmasıyla bu tür tehditler etkili bir şekilde azaltılabilir.
IoC’ler
Alanlar:
- doğu-sağlıklı-elbise[.]kusur[.]Ben
- mercan-polidaktil-ejderha meyvesi[.]kusur[.]Ben
- kwhfibejjyxregxmnpcs[.]üst baz[.]ortak
- epibvgvoszemkwjnplyc[.]üst baz[.]ortak
- ndrrftqrlblfecpupppp[.]üst baz[.]ortak
- bulut-belge-düzenleme[.]render’ı geri almak[.]iletişim
Dosyalar:
- MediaPl.dll (SHA-256:f2dec56acef275a0e987844e98afcc44bf8b83b4661e83f89c6a2a72c5811d5f)
Uygun maliyetli penetrasyon testi hizmetleri mi arıyorsunuz? Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’u deneyin. Ücretsiz demo