İran devlet destekli tehdit aktörü UNC1860, Ortadoğu’da zorlu bir siber güç olarak ortaya çıktı.
Muhtemelen İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı olan UNC1860 grubu, hükümet ve telekomünikasyon sektörleri de dahil olmak üzere kritik ağlara uzun vadeli erişim sağlayan özel araçları ve pasif arka kapılarıyla tanınıyor.
İlk erişim sağlayıcı olarak faaliyet gösteren UNC1860, bölgedeki yüksek öncelikli ağlara sızma, casusluk ve siber saldırılara yardımcı olma yeteneğini göstermiştir.
UNC1860’ın İran’ın Siber Kampanyalarındaki Rolü
Mandiant, UNC1860’ı İran’ın siber ekosisteminde Shrouded Snooper, Scarred Manticore ve Storm-0861 gibi diğer İranlı gruplarla paralellik gösteren önemli bir oyuncu olarak tanımlıyor. Bu aktörler, Orta Doğu telekomünikasyon ve hükümet ağlarını hedef aldı ve potansiyel olarak 2023’te İsrail’in BABYWIPER saldırıları ve 2022’de Arnavutluk’un ROADSWEEP kampanyası da dahil olmak üzere büyük bozucu operasyonlarda iş birliği yaptı.
UNC1860’ın bu saldırılara doğrudan katılımı doğrulanmamış olsa da, grubun gelişmiş kötü amaçlı yazılım denetleyicileri—TEMPLEPLAY ve VIROGREEN—ilk erişim sağlayıcısı rolünü öne sürüyor. Bu araçlar, üçüncü taraf aktörlere kurban ağlarına uzaktan erişim sağlayarak sorunsuz devretme operasyonlarını mümkün kılıyor ve UNC1860’ın İran’ın saldırgan siber stratejisindeki önemini vurguluyor.
Mesleğin Araçları: UNC1860’ın Özel Cephaneliği
UNC1860’ın araç takımı, gizlilik ve kalıcılık için tasarlanmış GUI ile çalıştırılan kötü amaçlı yazılım denetleyicileri ve pasif implantlar içerir. Öne çıkan özelliklerden biri, İranlı bir antivirüs yazılımı filtresinden yeniden amaçlanan bir Windows çekirdek modu sürücüsüdür. Bu, grubun tersine mühendislik uzmanlığını ve tespit edilmekten kaçınma yeteneğini yansıtır.
UNC1860, internete bakan sunuculardaki güvenlik açıklarından yararlanarak hedef ağlarda ilk tutunma noktalarını kurar, tespitten kaçınmak için yardımcı programlar ve implantlar dağıtır. Cephanelikleri arasında, geleneksel komuta ve kontrol altyapısını atlatan ve güvenlik ekipleri tarafından tespit edilmesini zorlaştıran OATBOAT ve TOFUDRV gibi pasif implantlar bulunur. Bu implantlar HTTPS şifrelemesini kullanır ve belgelenmemiş Giriş/Çıkış Kontrol komutlarını kullanarak güvenli ve gizli iletişimler sağlar.
UNC1860 ve APT34: İşbirlikçi Bir Tehdit
Mandiant’ın araştırmaları UNC1860 ile MOIS bağlantılı bir başka tehdit aktörü olan APT34 arasında yakın bir örtüşme olduğunu gösteriyor. APT34, aynı zamanda Cobalt Gypsy olarak da bilinir. Fındık Kum Fırtınası, Helix Kitten vb.’nin şu şekilde hareket ettiği bilinmektedir: Cyble Araştırma ve İstihbarat Laboratuvarları araştırmacıları, tedarik zinciri saldırılarının sosyal mühendislik kullanılarak gerçekleştirildiğini ve saldırılar için yakın zamanda kapatılan güvenlik açıklarının kullanıldığını açıkladı.
APT34, sunuculara kalıcı erişim için web kabukları ve arka kapılar ile birlikte komuta ve kontrol ve veri sızdırma için özel DNS Tünelleme protokollerine güvenir. Cyble, Cutting Kitten’ın yanal hareket için çalınan hesap kimlik bilgilerini kullandığını ve hedeflenen kuruluşlara erişmek için kimlik bilgilerini toplamak için kimlik avı sitelerini kullandığını ekledi.
Mandiant, her iki grubun da aynı kurban ortamlarında faaliyet gösterdiğinin, muhtemelen araçları ve erişimi paylaştığının gözlemlendiğini söyledi. 2019 ve 2020 yılları arasında gerçekleşen birden fazla etkileşimde, APT34 tarafından tehlikeye atılan kuruluşların daha sonra UNC1860 tarafından sızıldığı bulundu; bu da siber casusluğa ve ağlar arasında yanal harekete yönelik koordineli bir yaklaşım olduğunu gösteriyor.
Bu iş birliği, her iki grubun Irak merkezli hedeflere yönelmesiyle daha da kanıtlanıyor ve esnek ve fırsatçı doğalarını vurguluyor. UNC1860’ın STAYSHANTE ve SASHEYAWAY dahil olmak üzere web kabukları ve dropper’ları kullanımı, daha gelişmiş kötü amaçlı yazılımlarının sorunsuz bir şekilde yürütülmesini sağlıyor ve bu yazılımlar, daha fazla istismar için üçüncü taraf aktörlere devredilebiliyor.
TEMPLEPLAY ve VIROGREEN: UNC1860’ın Özel Kontrolörleri
UNC1860’ın kötü amaçlı yazılım denetleyicileri TEMPLEPLAY ve VIROGREEN gelişmiş istismar sonrası yetenekler sunar. TEMPLEDOOR arka kapısı için .NET tabanlı bir denetleyici olan TEMPLEPLAY, operatörlerin komutları yürütmesine, dosyaları yüklemesine ve indirmesine ve ağ sınırlarını atlatmak için HTTP proxy’leri oluşturmasına olanak tanır. Kullanıcı dostu GUI’si, üçüncü taraf operatörlere enfekte makinelere kolay erişim sağlayarak uzak masaüstü bağlantılarını ve dahili ağ taramasını kolaylaştırır.
Bu arada VIROGREEN, CVE-2019-0604 kullanarak savunmasız SharePoint sunucularını istismar etmek üzere tasarlanmıştır. STAYSHANTE ve BASEWALK gibi arka kapıları dağıtma, güvenlik açıklarını tarama ve tehlikeye atılmış sistemleri kontrol etme işlevlerini içerir. Bu denetleyiciler birlikte UNC1860’ın araç setinin önemli bir bölümünü temsil eder ve kalıcı erişimi sürdürmelerini ve daha fazla saldırıyı kolaylaştırmalarını sağlar.
Pasif Arka Kapılar: UNC1860’ın Gizli Kalıcılığı
UNC1860’ın temel güçlerinden biri, kurban ortamlarında gizlilik ve kalıcılık sunan pasif implantlarında yatmaktadır. TOFUDRV ve TEMPLEDROP dahil bu implantlar, Windows çekirdeğini kullanarak gelişmiş kaçınma teknikleri sağlar. Giden trafiği önleyerek ve değişken kaynaklardan iletişim başlatarak, bu implantlar ağ izlemeyi aşırı derecede zorlaştırır. Geleneksel komuta ve kontrol altyapısı olmadan işlev görme yetenekleri, tespit çabalarını daha da karmaşık hale getirir.
UNC1860’ın kötü amaçlı yazılım geliştirmesi, özel Base64 kodlama/kod çözme ve XOR şifreleme/şifre çözme yöntemlerini içerir. Bu özel kitaplıklar, grubun standart tespit mekanizmalarını atlatmasına ve farklı .NET sürümleri arasında uyumluluğu sağlamasına olanak tanır. UNC1860, bu işlevleri bağımsız olarak uygulayarak Windows iç işleyişine ilişkin derin anlayışını ve tespitten kaçınma konusundaki kararlılığını gösterir.
Uzun Vadeli Kalıcılık: UNC1860’ın Ana Sahne Arka Kapıları
UNC1860’ın dayanak noktaları ve arka kapıları, tespitten kaçınmak için karartma yöntemleri kullanarak uzun vadeli kalıcılık için tasarlanmıştır. TEMPLEDOOR dahil olmak üzere “ana aşama” implantları, kurban ortamlarında sağlam dayanaklar sağlayarak operasyonel güvenliklerini daha da genişletir. Bu arka kapılar genellikle yüksek öncelikli hedefler için, özellikle telekomünikasyon sektöründe, ayrılmıştır ve UNC1860’ın tersine mühendislik ve savunma kaçınmasındaki gelişmiş yeteneklerini göstermektedir.
Sonuç: UNC1860’ın Artan Etkisi
Orta Doğu’da siber gerilimler artarken, UNC1860’ın ilk erişim sağlayıcısı ve sürekli tehdit aktörü olarak rolü büyümeye devam ediyor. Gelişmiş araçları ve yüksek değerli ağlara erişim elde etme ve sürdürme yetenekleri, onları İran’ın siber operasyonlarında önemli bir oyuncu haline getiriyor. Tersine mühendislik ve gizlilik konusunda derin uzmanlığa sahip olan UNC1860, İran’ın siber cephaneliğinde kritik bir varlık olmaya devam edecek ve değişen hedeflere ve değişen jeopolitik manzaralara uyum sağlayabilecek.
UNC1860’ın devam eden operasyonları, özellikle Orta Doğu’da devlet destekli siber tehditlerin artan karmaşıklığına işaret ediyor. Bölgedeki ağ savunucuları, UNC1860’ın gelişmiş ticaret zanaatı ve kaçamak teknikleri siber güvenlik çabalarına sürekli bir meydan okuma sunduğu için uyanık kalmalıdır.