İranlı uyumlu operatörler tarafından düzenlenen sofistike bir mızrak aktı kampanyası, dünya çapında Diplomatik Görevleri Hedefli Bir Umman Posta Kutusu Dışişleri Bakanlığı aracılığıyla hedefleyen tanımlanmıştır.
Ağustos 2025’te keşfedilen saldırı, İran’ın İstihbarat ve Güvenlik Bakanlığı’na (MOI) bağlı Vatan Adalet Grubu ile ilişkili taktiklerin devamını temsil ediyor.
Kampanya, acil diplomatik iletişim olarak maskelenen kötü niyetli Microsoft kelime belgelerini dağıtmak için sosyal mühendislik tekniklerinden yararlandı.
Saldırganlar, gerçek kökenlerini gizlemek için Ürdün’deki bir NordVPN çıkış düğümü (212.32.83.11) aracılığıyla trafiği yönlendirerek, tehlikeye atılmış bir @fmov.om adresinden e -posta gönderdi.
Birden fazla bölgedeki büyükelçilik, konsolosluk ve uluslararası kuruluşları kapsayan 270 e-posta adresindeki alıcılar, “İran-İsrail Savaşı’ndan sonra bölgenin geleceği ve Orta Doğu’daki Arap ülkelerinin rolü” ile ilgili belgelerle belgeler aldı.
.webp)
DreamGroup analistleri, kampanyanın ilk değerlendirmelerin çok ötesine uzandığını ve operasyonun gerçek kapsamını maskelemek için 104 benzersiz uzlaşmış adresin kullanıldığını belirledi.
Ekli kelime belgeleri içine gömülü kötü amaçlı yazılım, Sayısal dizileri VBA makro kodu yürütülmesi yoluyla ASCII karakterlerine dönüştürerek sofistike kodlama teknikleri kullandı.
Saldırı mekanizması
Yürütme mekanizmasını incelerken saldırının teknik karmaşıklığı belirginleşir.
Kötü niyetli belgeler, çok aşamalı bir yük dağıtım sistemi uygulayan “Bu Belge” ve “UserForm1” modüllerinde gizlenmiş VBA makroları içeriyordu.
.webp)
“DDDD” olarak adlandırılan birincil kod çözücü işlevi, kodlanmış dizeleri üç haneli segmentleri okuyarak ve formülü kullanarak ASCII karakterlerine dönüştürerek sistematik olarak işler Chr (Val (Mid (str, counter, 3))).
Özellikle dikkate değer bir kaçırma tekniği, her biri 105 yineleme yürüten dört iç içe döngü boyunca yapay gecikmeler yaratan “laylay” işlevini içerir.
Bu anti-analiz rutini, dinamik analiz araçlarını ve otomatik kum havuzu algılama sistemlerini önemli ölçüde engeller.
Kötü amaçlı yazılım yükünü şuraya yazıyor C:\Users\Public\Documents\ManagerProc[.]logVBHID parametreleriyle kabuk komutu aracılığıyla yürütülmeden önce yürütülebilir dosyayı zararsız bir günlük dosyası olarak gizlemek.
Başarılı bir dağıtım üzerine, SysProcupdate Yürütülebilir dosyası, C:\ProgramData\sysProcUpdate[.]exe ve Windows Kayıt Defteri DNS parametrelerini değiştirme.
Kötü amaçlı yazılım, kullanıcı adı, bilgisayar adı ve yönetim ayrıcalıkları dahil olmak üzere sistem meta verilerini toplar ve bu bilgileri screenai.online/home/ adresindeki komut ve kontrol sunucusuna şifreli HTTPS sonrası istekleri aracılığıyla iletir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.