İran-Nexus hackerları, hükümetleri hedeflemek için Umman posta kutusunu sömürdü

   Eylül 2, 2025  Posted in GBHackers


Umman Dışişleri Bakanlığı’na ait tehlikeye atılmış bir posta kutusunu kullanan sofistike bir mızrak aktı kampanyası.

İran adaleti olarak bilinen ve İran’ın İstihbarat ve Güvenlik Bakanlığı (MOI) ile bağlantılı olan İranlı uyumlu bir gruba atfedilen operasyon, dünya çapında hükümetlere ve diplomatik misyonlara sızmak için meşru çok faktörlü kimlik doğrulama (MFA) iletişim olarak görüldü.

Kampanya, resmi kayıt formları olarak gizlenmiş kötü amaçlı Microsoft Word eklerini göndermek için kaçırılan Omani MFA posta kutusundan yararlandı.

Droper daha sonra yeniden yapılandırılmış yürütülebilir dosyayı genel belgeler klasöründe yöneticiproc.log adlı bir dosyaya yazdı, Windows Shell aracılığıyla görünmez bir şekilde yürüttü ve screenai.online’daki bir komut ve kontrol (C2) alanına işaretleme kurdu.

Adli analiz, kampanyanın taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) vatan adaleti tarafından yürütülen daha önceki operasyonlarla ilişkilendirerek, orta doğu gerginliklerini artıran diplomatik ve hükümet kuruluşlarını hedefleyen koordineli bir bölgesel casusluk çabasını önerdi.

İran-Nexus Mızrak Kimlik Avı Kampanya Saldırı Yolu.
İran-Nexus Mızrak Kimlik Avı Kampanya Saldırı Yolu.

270 mızrak aktı e-postasından elde edilen veriler, saldırganların mesajlarının kökenini kamufle etmek için 104 benzersiz uzlaştırılmış adres kullandığını ortaya koydu.

Bu genişlik, bazı uluslar ve Hamas arasındaki hassas ateşkes müzakereleri sırasında elçiliklere, konsolosluklara ve uluslararası kuruluşlara ulaşan çok dalga operasyonunu göstermektedir.

LURE e-postaları, acil MFA güncellemelerini sürekli olarak çağırdı, üst düzey otoriteyi aktardı ve kullanıcıların iyi bir casusluk sürücüsünün hall’larını mümkün kılan kullanıcıların aşinalıklarını kullandı.

Her belge, bir VBA makrosuna gömülü kodlanmış sayısal dizeler içeriyordu. Açıldığında ve “Etkin İçerik” tıklandığında, makro, kötü amaçlı yazılım yükünü yeniden yapılandırmak için sayıları – bir seferde üç basamak okuma ve ASCII karakterlerine dönüştürdü.

Kampanya VBA Makro Yürütme Zinciri.
Kampanya VBA Makro Yürütme Zinciri.

İlk aşama Paris’teki Omani Büyükelçiliği’ni hedefledi. Saldırganlar, “İran-İsrail Savaşı’ndan sonra bölgenin geleceği ve Orta Doğu’daki Arap ülkelerinin rolü” gibi bölgesel güvenlik konularına atıfta bulunan e-postalar hazırladılar ve alıcılara gömülü makrolar sağlama talimatı verdiler. Ürdün’deki bir NordVPN çıkış düğümü (IP 212.32.83.11) e -postaların gerçek kökenini maskeledi.

Teknik analiz

  • Yük kod çözücü (DDDD): Gizli bir form kontrolünden üç haneli dizileri okur ve bunları ikili yürütülebilir içeriğe dönüştürür.
  • Anti-Analiz Gecikmesi (Laylay): Her biri 105 kez sandbox analizini engelleyen dört iç içe döngü.
  • Yürütme sargısı (RRRR): Laylay’ı iki kez çağırır, ardından düşen yükü VBHIDE ile çalıştırır ve hataları bastırır.
    Bir Autoopen makro, damlalıkları düzenledi: yükü kodlamak, ManagerProc.log olarak yazmak ve görünmez bir şekilde yürütmek.

Yürütme üzerine, SYSPROCUPDATE olarak adlandırılan kötü amaçlı yazılım, toplanmış ana bilgisayar meta verileri (kullanıcı adı, bilgisayar adı, ayrıcalık seviyesi), şifreledi ve HTTPS aracılığıyla C2 sunucusuna gönderdi. Sandbox testleri sunucuya ulaşamamasına rağmen (getLasterror 0x2ee7), gerçek dünya kurbanları muhtemelen hassas ayak izi verilerini aktarmıştır.

Bölgesel hedefleme

  • Afrika: On iki ülke, 30 benzersiz e -posta (15 birincil, 17 ikincil).
  • Avrupa: On ülke, 73 benzersiz e -posta (39 birincil, 57 ikincil).
  • Asya: Yedi ülke, 25 benzersiz e -posta (14 birincil, 12 ikincil).
  • Amerika: On bir ülke, 35 benzersiz e -posta (1 birincil, 21 ikincil).
  • Uluslararası Kuruluşlar: On ceset, 12 benzersiz e -posta (6 birincil, 6 ikincil).
  • Jenerik Alanlar: Attüt edilemeyen alanlarda 103 benzersiz e-posta (47 birincil, 76 ikincil).
  • Kampanyanın resmi bir hükümet posta kutusunu kullanması güvenilirlik kazandırırken, VPN rutinasyonu ilişkilendirmeyi gizledi. SysProcupdate yükü keşif üzerine odaklanmıştır, ancak yeniden başlatmalar arasındaki kayıt defteri modifikasyonları ve kalıcılık daha derin ağ penetrasyonu için hazırlıkları göstermektedir. Tekdüzen yük ve bölgesel cazibe temaları, yüksek riskli bir casusluk taahhüdünün altını çiziyor.

Öneriler

  1. ManagerProc.log, Sysprocupdate ikili dosyaları ve screenai.online alan adları dahil olmak üzere tüm tanımlanan IOC’leri engelleyin.
  2. Şüpheli ev uç noktalarına giden HTTPS yayınlarını izleyin.
  3. Yetkisiz değişiklikler için DNS ve TCP/IP kayıt defteri ayarlarını denetleyin.
  4. Ofis makrolarını varsayılan olarak devre dışı bırakın ve katı beyaz liste politikalarını uygular.
  5. Ürdün tabanlı çıkış düğümlerine bağlı trafik anomalileri için VPN günlüklerini analiz edin.
  6. Ağ segmentasyonunu uygulayın ve çıkışı onaylı alanlarla sınırlayın.

Bu önlemleri benimseyerek, hükümetler ve diplomatik görevler, devlet destekli aktörler tarafından düzenlenen mızrak aktı tehditlerini daha iyi tespit edebilir ve azaltabilir.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link