Siber güvenlik araştırmacıları, dünya çapında devlet kuruluşlarına kötü niyetli yükler teslim etmek için Umman’da uzlaşmış bir Dışişleri Bakanlığı (MFA) posta kutusunu kullanan sofistike, İran bağlantılı bir mızrak avı operasyonu ortaya çıkardılar.
Analistler operasyonu İran’ın İstihbarat ve Güvenlik Bakanlığı’na (MOI) uyumlu olduğuna inanılan “Vatandaş Adalet” grubuna atfediyorlar.
Çalınan diplomatik iletişim, kodlanmış makrolar ve katmanlı kaçırma tekniklerinden yararlanan kampanya, artan jeopolitik gerilimler arasında bölgesel casusluk için yenilenmiş bir baskının altını çiziyor.
Kötü niyetli makrolar ile diplomatik yemler
Saldırganlar, kampanyayı Paris’teki Omani MFA’nın resmi bir e-posta hesabını ele geçirerek, acil çok faktörlü kimlik doğrulama (MFA) bildirimleri içerdiği görünen mesajlar göndererek başlattı.
Büyükelçiliklerden ve konsolosluklardan uluslararası kuruluşlara kadar uzanan alıcılara “içeriği etkinleştirmeleri” istenen meşru kelime belgelerini görüntülemeleri istenmiştir.
Bu eklere gömülü olan, gizli bir form kontrolünde depolanan üç haneli sayıların dizilerinden ikili yükü yeniden yapılandıran bir VBA makro damlası vardı.
Belge açıklandıktan sonra, makro dört bölümlü bir zincir gerçekleştirdi:
- Gecikme ve anti-analiz: İç içe bir döngü rutini (
laylay) binlerce op yinelemeyi tetikledi, sanal alan ve dinamik analiz ortamlarını durdurdu. - Yük Kod çözme: İşlev (
dddd) Bir kullanıcı formunun metin kutusu kontrolündeki rakamların üçlülerini ASCII karakterlerine dönüştürerek, kötü amaçlı yazılım yürütülebilir dosyasının ikilisini yeniden yaratır. - Gizli damla ve infaz: Kod çözülmüş yük yazıldı
C:\Users\Public\Documents\ManagerProc.log– Görünüşte zararsız bir günlük dosyası – ve hata bastırma ile bir kabuk komutu aracılığıyla gizli başlatıldı. - Kalıcılık ve temizlik: Diğer gecikmeler sürecin sessizce tamamlanmasını sağladı ve makro’nun basit hata işleyicileri herhangi bir başarısızlığı gizledi.
Bu yürütme zinciri klasik makro tabanlı teslimatı örnekler, ancak sayısal kodlama ve kasıtlı gecikmelerin kullanımı gizliliğini yükseltti ve saldırganların standart e-posta güvenlik filtrelerini ve sanal alan denetimlerini atlamasına izin verdi.
.webp)
Küresel bölgesel casusluk
Adli bir inceleme, kampanyanın geniş erişimini gösteren 104 benzersiz Omani MFA adresinden gönderilen 270 mızrak aktı e-postasını tanımladı.
Altyapı günlükleri, Ürdün’de NordVPN çıkış düğümlerinin, mesajların gerçek kökenini gizlemek için kullanımını ortaya çıkardı. Hedefler altı küresel bölgeye yayıldı:
- Avrupa: On ülke, 73 benzersiz adres.
- Afrika: On iki ülke, 30 adres.
- Asya: Yedi ülke, 25 adres.
- Orta Doğu: Yedi ülke, 20 adres.
- Amerika: On bir ülke, 35 adres.
- Uluslararası Kuruluşlar: On ceset, 12 adres.
Avrupa birincil odak noktası olarak ortaya çıkarken, Afrika misyonları da ağır hedefleme ile karşı karşıya kaldı. Önde gelen çok taraflı örgütlerin (UNICEF, Dünya Bankası) dahil edilmesi, saldırganların stratejik diplomasi ve insani ağlara olan ilgisini aydınlattı.
Dahası, zamanlama hassas bölgesel müzakerelerle çakıştı ve istihbarat toplamasının diplomatik sonuçları etkilemeyi veya öngörmeyi amaçladığını düşündürdü.
Kaçma, keşif ve sonraki aşama riskler
Damlı yürütülebilir, dublajlı Sysprocupdate, daha fazla karmaşıklık gösterdi. Tersine mühendisliği karmaşıklaştırmak için özel olarak karşılaşılmamış istisna filtreleri ve bölüm ambalajı gibi anti-analiz yöntemleri kullanıldı.
Etkin olduktan sonra, kötü amaçlı yazılım hasat edilmiş ana bilgisayar meta verileri (kullanıcı adı, bilgisayar adı, yönetim durumu), bilgileri şifreledi ve HTTPS gönderisi aracılığıyla bir komut ve kontrol sunucusuna gönderdi (https://screenai.online/Home/).
Bir işaretleme döngüsü, sunucu ulaşılamasa bile kalıcı bağlantı girişimleri sağladı.
Bir dayanak korumak için, sysprocupdate kendini çoğalttı C:\ProgramData\sysProcUpdate.exe ve DNS önbellek parametreleri altında değiştirilmiş Windows kayıt defteri ayarları, potansiyel olarak gelecekteki yanal hareketi mümkün kılar.
Saldırganların keşiflere verdiği vurgu, bu ilk dalganın iç ağ topolojilerini haritalamayı ve daha sonraki sömürü için yüksek değerli sistemleri tanımlamayı amaçlamaktadır.
Azaltma önerileri
- Gösterge Engelleme: İle iletişimi reddetmek
screenai.onlineve bilinen karantina ile eşleşen karantina belgeleri (örneğin, sysprocupdate yük). - Makro Güvenlik Politikaları: Makroları devre dışı bırakmak ve etkin makrolar için katı imzalama gereksinimlerini uygulamak için varsayılan ofis kurulumları.
- Ağ İzleme: Giden trafiği bilinmeyen veya olağandışı alanlara inceleyin ve dahili kullanıcı etkinliği ile ilişkilidir.
- Kayıt Defteri Denetimleri: Yetkisiz değişiklikler için kritik DNS ve TCP/IP kayıt defteri anahtarlarını düzenli olarak doğrulayın.
- VPN Trafik Analizi: Organizasyonel normlarla tutarlı düğümler, özellikle de etkilenmemiş bölgelerde bulunan düğümler ile VPN girişlerinde ani sivri uçları işaretleyin.
Kuruluşlar, aldatıcı makro yemleri tanımak için sağlam e-posta filtreleme, proaktif ağ savunmaları ve kullanıcı eğitimini birleştirerek bu mızrak akışını engelleyebilir ve bir düşmanın casusluk veya sabotaj için gizli erişim oluşturma yeteneğini sınırlayabilir.
Uzlaşma Göstergeleri (IOCS):
| Tip | Karma / alan / url | Dosya / Kaynak Adı |
|---|---|---|
| İhtisas | SCREARAI[.]çevrimiçi | C2 Alanı |
| Url | https://screenai.online/home/ | Ana C2 URL yolu (düzinelerce alt yolla) |
| Doc | B2C52FDE1301A3624A9CEB95F2DE4112D57FCBC6A469579AEC15AF4FA0A122 | Çevrimiçi Seminer.fm.gov.om.dnr.doc |
| Doc | 1C16B271C0C4E277B3D1A7795D4746CE80152F04827A4F3C5798AAF4D51F6A1 | 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1.doc |
| Doc | 2C92C7BF2D6574F9240032EC6ade738edddc2ba8d3207b102eddf4ab963db0 | Freespan’da tarama için DPR_16082025.2.doc |
| Doc | 80E9105233F93DF753A43291C2AB1A01037537DB9327F9FE40D184F078C6B | Freespan’da tarama için DPR_16082025.2.doc |
| Doc | F | Seminar.mfa.gov.ct.tr-1.doc (kopya) |
| Doc | 02cccc4271362b92a59e6851ac6d5d2c07182064a602906d716fe2867cc662a5 | Bilinmeyen kötü niyetli doktor |
| E -posta (EML) | 05D8F686DCBB68F91F49AF779E4572BA1646A9C5629A1525E8499AB41DBF2 | Eml2_d3ea22143Ad4154bf5ea6077d7938f8.eml |
| E -posta (EML) | 03828aebefde47bca0fcf0684ecae18aedde035c85f9d39edd2b7a147a1146fa | Eml1_b83e249519684cd2ac40ad5fcfee687d.eml |
| EXE | 76fa8dca768b64aefdd85f7d0a33c2693b94bdb55f40ad7830561e48e39c75 | sysprocupdate.exe |
| EXE | 1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56 | sysprocupdate.exe |
| EXE | 3AC8283916547C501EED8E7C3A77F0AE8B00C7B72275BE8726A5B6AE255E3 | sysprocupdate.exe |
| EXE | 3D6F69C0330B302DDF4701BC956B8FCA683D1C1B3146768DCBCE4A1B3932CA | sysprocupdate.exe |
| VBS komut dosyası | 20E7B9DCF9546055D511A64A07996F6178F5819F8501611A521E19FBA74B0 | ThisDocument.cls |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.