İranlı bir tehdit aktörü, başta Birleşik Arap Emirlikleri (BAE) içindekiler olmak üzere Körfez devleti hükümet birimlerine karşı casusluğunu artırıyor.
APT34 (diğer adıyla Earth Simnavaz, OilRig, MuddyWater, Crambus, Europium, Hazel Sandstorm) daha önce İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı bir gruptur. Casusluk yaptığı biliniyor Büyük endüstrilerdeki yüksek değerli hedefler Orta Doğu genelinde: petrol ve gaz; finans; kimyasallar; telekomünikasyon; diğer kritik altyapı biçimleri; ve hükümetler. Saldırıları, özel kötü amaçlı yazılım paketleri ve Uzun süre boyunca tespit edilmekten kaçınmak.
Son zamanlarda Trend Micro şunu gözlemledi: APT34’ün casusluğunda “dikkate değer artış” ve başta BAE olmak üzere devlet kurumlarından hassas bilgilerin çalınması. Bu yeni vakalarda, ayrıcalıkları yükseltmek ve takip eden tedarik zinciri saldırıları gerçekleştirmek için yararlı olan kimlik bilgilerini sızdırmak üzere Microsoft Exchange sunucularını kullanan yeni bir arka kapı olan “StealHook” bulunuyor.
APT34’ün Son Etkinliği
Son APT34 saldırıları, savunmasız Web sunucularına dağıtılan Web kabuklarıyla başladı. Bu Web kabukları, bilgisayar korsanlarının PowerShell kodunu çalıştırmasına ve ele geçirilen sunucudan dosya indirmesine veya bu sunucuya dosya yüklemesine olanak tanır.
Örneğin indirdiği araçlardan biri, yerel makineler ile daha geniş İnternet arasında güvenli tüneller oluşturmaya yönelik meşru ters proxy yazılımı olan ngrok’tur. APT34, ngrok’u, güvenlik duvarları ve diğer ağ güvenliği barikatlarını geçerek bir ağın Etki Alanı Denetleyicisine giden yolu kolaylaştıran bir komuta ve kontrol (C2) aracı olarak silah haline getirir.
Check Point Research tehdit istihbaratı grup yöneticisi Sergey Shykevich, “APT34’te gözlemlediğimiz en etkileyici özelliklerden biri, yüksek profilli hassas ağlardan veri çalmalarına olanak tanıyan gizli sızma kanallarını oluşturma ve ince ayar yapma becerileridir” diyor. yakın zamanda ortaya çıkan bir APT34’ün Irak hükümetinin bakanlıklarına karşı casusluk kampanyası. Grup, önceki kampanyalarında çoğunlukla C2 iletişimlerini DNS tüneli ve güvenliği ihlal edilmiş e-posta hesapları aracılığıyla güvence altına alıyordu.
APT34, virüslü makinelerde daha fazla ayrıcalık elde etmek için CVE-2024-30088’den yararlanıyor. Trend Micro Zero Day Initiative (ZDI) aracılığıyla keşfedilen ve Haziran ayında yamalanan CVE-2024-30088, saldırganların Windows’ta sistem düzeyinde ayrıcalıklar elde etmesine olanak tanıyor. Windows 10 ve 11’in yanı sıra Windows Server 2016, 2019 ve 2022’nin birden çok sürümünü etkiliyor ve Ortak Güvenlik Açığı Puanlama Sistemi’nde (CVSS) 10 üzerinden 7 “yüksek” önem derecesi aldı. Bu derecelendirme daha yüksek olabilirdi, ancak bir sisteme yerel erişim gerektirmesi ve istismar edilmesinin kolay olmaması nedeniyle.
APT34’ün en iyi numarası Windows şifre filtrelerini kötüye kullanma tekniğidir.
Windows, kuruluşların, örneğin kullanıcılar arasında iyi hijyeni sağlamak için özel parola güvenlik ilkeleri uygulamasına olanak tanır. APT34, kötü amaçlı bir DLL dosyasını Windows sistem dizinine bırakarak onu meşru bir parola filtresi gibi kaydediyor. Bu şekilde, bir kullanıcı şifresini değiştirirse (sık sık yapılması gereken iyi bir siber güvenlik uygulaması) APT34’ün kötü amaçlı filtresi bunu düz metin olarak engelleyecektir.
APT34, saldırısını tamamlamak için en yeni arka kapısı olan StealHook’u çağırıyor. StealHook, bir kuruluşun Microsoft Exchange sunucularına girmesine izin veren etki alanı kimlik bilgilerini alır. Hedeflenen kuruluşun sunucularını ve çalınan e-posta hesaplarını kullanan arka kapı artık çalınan kimlik bilgilerini ve diğer hassas devlet verilerini e-posta ekleri yoluyla sızdırabilir.
APT34 Saldırılarının Devam Eden Riskleri
Trend Micro’nun siber tehdit istihbaratı araştırmacısı Mohamed Fahmy, “Exchange’i veri sızdırma ve C&C amacıyla kötüye kullanma tekniği çok etkili ve tespit edilmesi zor” diyor. “Yıllardır kullanılıyor [APT34’s] Karkoff’un arka kapısıdır ve çoğu zaman tespit edilmekten kurtulur.”
APT34’ün, hassas hesap kimlik bilgilerini ve diğer hükümet verilerini sızdırmanın yanı sıra, bir kuruluşta kendisine bağlı diğer kişilere karşı takip eden saldırılar gerçekleştirmek için bu düzeydeki erişimden yararlandığı da biliniyor.
Fahmy, bir süredir tehdit aktörünün “belirli bir kuruluşun güvenliğini tamamen ihlal ettiğini ve ardından sunucularını başka bir kuruluşa (virüs bulaşan kuruluşla güven ilişkisine sahip olan) karşı yeni bir saldırı başlatmak için kullandığını söylüyor. Bu durumda, tehdit aktörü Kimlik avı e-postaları göndermek için Exchange’den yararlanabilir.”
Kendisi, özellikle devlet kurumlarının sıklıkla birbirleriyle yakın ilişki içerisinde olduğunu, “böylece tehdit aktörünün bu güveni tehlikeye atmak“