Genellikle “Pers Prensi” olarak takip edilen İran devleti destekli tehdit aktörleri, küresel kritik altyapıyı ve özel ağları hedef alan karmaşık bir siber casusluk kampanyasıyla yeniden ortaya çıktı.
2000’li yılların başından bu yana aktif olan bu grup, yakın zamanda kurumsal sistemlere sızmak ve hassas istihbaratı sızdırmak için güncellenmiş kötü amaçlı yazılım türlerini kullandı.
Son operasyonları, modern güvenlik savunmalarını atlatmak için yeni kaçırma teknikleri ve merkezi olmayan komuta ve kontrol (C2) altyapılarını kullanarak teknik yeterlilikte önemli bir gelişme olduğunu gösteriyor.
Saldırganlar, bulaşmaları öncelikle gömülü yürütülebilir dosyalar içeren kötü amaçlı Microsoft Excel dosyaları aracılığıyla başlatıyor; bu da, makro destekli belgelere olan önceki bağımlılıklarından taktiksel bir değişime işaret ediyor.
Genellikle zararsız idari güncellemeler veya bölgesel haber öğeleri olarak gizlenen bu dosyalar, standart antivirüs algılama motorlarından kaçacak şekilde tasarlanmıştır.
Bir kurban dosyayla etkileşime geçtiğinde, kötü amaçlı yazılım, Foudre arka kapısını sessizce yükleyen, kendi kendine açılan bir arşivi bırakır ve tehlikeye atılan ağ içinde bir başlangıç noktası oluşturur.
SafeBreach analistleri, üç yıllık bir hareketsizlik döneminden sonra bu yenilenen faaliyeti tespit ederek, grubun daha esnek operasyonel güvenlik uygulamalarına geçişine dikkat çekti.
Araştırmaları, grubun, artık kalıcılık ve veri hırsızlığı için gelişmiş yeteneklere sahip olan Foudre ve Tonnerre adlı farklı kötü amaçlı yazılım ailelerini kullandığını ortaya çıkardı.
Soruşturma aynı zamanda operasyonu belirli bir kişi olan “Ehsan” ile ilişkilendirdi ve kampanyanın altyapısının merkezi ve insan tarafından yönetilen bir yönetimine işaret etti.
Enfeksiyonun Teknik Analizi ve C2 İletişimi
Bu kampanyanın teknik gelişmişliği en çok Foudre v34 ve Tonnerre v50’nin dağıtımında açıkça görülmektedir.
Foudre v34, şu şekilde tanımlanan bir yükleyici DLL’sinin kullanıldığı karmaşık, çok aşamalı bir yükleme işlemi kullanır: Conf8830.dlladlı belirli bir dışa aktarılan işlevi yürütür f8qb1355.
Bu işlev gizlenmiş bir DLL dosyasını çağırır, d232Hem kullanıcıları hem de otomatik güvenlik araçlarını yanıltmak için MP4 video dosyası gibi görünen .
.webp)
Başarılı bir yürütmenin ardından, kötü amaçlı yazılım kalıcılık sağlar ve oluşturulan bir alan adını kullanarak C2 sunucularıyla iletişimi başlatır.
Etki Alanı Oluşturma Algoritması (DGA) mantığı özellikle farklıdır ve süreci iki aşamaya ayırır. İlk aşama, tarih formatlı bir dizeye dayalı olarak bir CRC32 sağlama toplamını hesaplar; LOS1{}{}{}.format(date.year, date.month, weeknumber).
İkinci aşama bu çıktıyı sekiz karakterli benzersiz bir ana bilgisayar adına dönüştürür. Ayrıca Tonnerre v50 varyantı, Telegram’ı içeren benzersiz bir yönlendirme mekanizması sunar.
Kötü amaçlı yazılım, geleneksel FTP protokolleri yerine, komutları almak için bir Telegram botuyla iletişim kurar.
.webp)
C2 iletişimi, kurban makineleri doğrulamak için belirli HTTP GET isteklerine dayanır. Foudre v34, aşağıdaki yapıyı kullanarak sunucuya benzersiz bir tanımlayıcı gönderir:
https://
Bu ayrıntılı kontrol, saldırganların enfeksiyonları seçici olarak yükseltmesine veya kaldırmasına olanak tanıyarak, yüksek değerli hedeflere uzun vadeli erişimi korurken operasyonlarının tespit edilmeden kalmasını sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
