İranlı APT Hackerları EDU ve Teknoloji Sektörlerine Saldırıyor

   Kasım 8, 2023  Posted in GBHackers


Siber güvenlik araştırmacıları, saldırganları, yeteneklerini geliştiren ve güvenlik önlemlerini atlatmak için çeşitli araçlar kullanan İran destekli APT grubu “Agonizing Serpens” ile ilişkilendiriyor.

Bilgisayar korsanları, aşağıdakiler de dahil olmak üzere çeşitli nedenlerle hassas verileri hedef alır ve çalar:

  • Finansal kazanç
  • Kimlik Hırsızı
  • Casusluk
  • Kesinti
  • Hasara neden olmak

Çalınan verileri karaborsada satabilir, şantaj için kullanabilir veya dolandırıcılık faaliyetleri için kullanabilirler. Birim 42 araştırmacıları yakın zamanda İsrail’in eğitim ve teknoloji sektörlerini hedef alan, verileri çalmayı ve uç noktaları kullanılamaz hale getirmeyi amaçlayan bir dizi siber saldırı keşfetti.

Teknik Analiz

İran bağlantılı APT Agonizing Serpens, İsrailli kuruluşları hedef alan saldırılarda silecekler ve sahte fidye yazılımları kullanarak 2020’den beri faaliyet gösteriyor. Genellikle çalınan bilgileri sosyal medyada yayınlayarak verileri çalmayı ve iş sürekliliğini bozmayı amaçlıyorlar.

Aşağıda, Acı Veren Yılanların diğer isimlerinden de bahsettik: –

  • Agrius
  • Kara gölge
  • Pembe Kum Fırtınası
  • DEV-0022

Saldırganlar, ilk erişim için web kabuklarını dağıtarak web sunucularından yararlandı. Bu mermiler, geçmiş Agonizing Serpens saldırılarına benzer şekilde, halka açık ortak tarayıcıları kullanarak keşif ve ağ haritalaması gerçekleştirdi.

Ağ mermileri aracılığıyla temel keşif komutları (Kaynak – Birim 42)

Aşağıda tarayıcılardan bahsettik: –

Saldırganlar yönetici kimlik bilgilerini ele geçirmeye çalıştı ancak Cortex XDR yöntemlerini engelledi. Aşağıda denenen tüm yöntemlerden bahsettik: –

  • Mimikatz
  • KOBİ şifre püskürtme
  • KOBİ şifresi kaba kuvvet
  • SAM dosyasının dökümü

Saldırganlar, veri hırsızlığı ve silme işlemini amaçlayan yanal hareket için Plink’i (systems.exe olarak) kullandı. Süzme için özel bir sqlextractor (sql.net4.exe) ile birlikte WinSCP ve Putty gibi araçları kullandılar.

Aşağıda çıkarılan veri türlerinden bahsettik: –

  • kimlik numaraları
  • Pasaport taramaları
  • E-postalar
  • Tam adresler

Saldırganlar, çalınan verileri içeren belirli dosya türlerini arayarak dosya sızdırma için WinSCP ve pscp.exe’yi kullanmayı denedi.

Grup EDR’yi atlamaya çalıştı ancak Cortex XDR girişimlerini engelledi. Daha önceki saldırılarda görülmeyen, bilinen çeşitli teknikleri kullandılar, bu da karmaşıklığın arttığını gösteriyor.

Saldırganlar, muhtemelen PDB yoluna dayalı olarak drvIX’ten türetilen agmt.exe adlı özel bir araç kullandı. Agmt.exe, GMER sürücüsü AGMT.sys için özel bir yükleyicidir. AGMT servisini kaydedip başlatarak belirlenen bir hedef süreci sonlandırabilir.

GMER sürücüsünden yararlanmayı başaramayan saldırganlar, drvIX aracına yönelerek BadRentdrv2 adlı halka açık bir PoC aracındaki yeni ve savunmasız bir sürücüden yararlandı.

Birim 42’deki siber güvenlik araştırmacıları, Agonizing Serpens grubunun operatörleri tarafından kullanılan aşağıdaki yeni silecekleri ve araçları buldu: –

  • Çok Katmanlı silecek
  • Kısmi Yıkayıcı silecek
  • BFG Agonizer silecek
  • Sqlextractor – veritabanı sunucularından bilgi çıkarmak için özel bir araç

Belge

ÜCRETSİZ Web Semineri

Finansal hizmetler sektörünü hedef alan son siber saldırı dalgasıyla Siber Dayanıklılığınızı sağlayın. Katılımcıların neredeyse %60’ı bir siber saldırının ardından tamamen iyileşebileceklerinden emin değil.

Uzlaşma Göstergeleri

Web kabukları

  • 1ea4d26a31dad637d697f9fb70b6ed4d75a13d101e02e02bc00200b42353985c
  • 62e36675ed7267536bd980c07570829fe61136e53de3336eebadeca56ab060c2
  • abfde7c29a4a703daa2b8ad2637819147de3a890fdd12da8279de51a3cc0d96d

Nbtscan

  • 63d51bc3e5cf4068ff04bd3d665c101a003f1d6f52de7366f5a2d9ef5cc041a7

WinEggDrop

  • 49c3df62c4b62ce8960558daea4a8cf41b11c8f445e218cd257970cf939a3c25

NimScan

  • dacdb4976fd75ab2fd7bb22f1b2f9d986f5d92c29555ce2b165c020e2816a200
  • e43d66b7a4fa09a0714c573fbe4996770d9d85e31912480e73344124017098f9

Mimikatz

  • 2a6e3b6e42be2f55f7ab9db9d5790b0cc3f52bee9a1272fc4d79c7c0a3b6abda

ProcDump

  • 5d1660a53aaf824739d82f703ed580004980d377bdc2834f1041d512e4305d07
  • f4c8369e4de1f12cc5a71eb5586b38fc78a9d8db2b189b8c25ef17a572d4d6b7
  • 13d8d4f4fa483111e4372a6925d24e28f3be082a2ea8f44304384982bd692ec9
  • a8e63550b56178ae5198c9cc5b704a8be4c8505fea887792b6d911e488592a7c

Pscp.exe

  • a112e78e4f8b99b1ceddae44f34692be20ef971944b98e2def995c87d5ae89ee

Çok Katmanlı silecek

  • 38e406b17715b1b52ed8d8e4defdb5b79a4ddea9a3381a9f2276b00449ec8835
  • f65880ef9fec17da4142850e5e7d40ebfc58671f5d66395809977dd5027a6a3e

Kısmi Yıkayıcı Silecek

  • ec7dc5bfadce28b8a8944fb267642c6f713e5b19a9983d7c6f011ebe0f663097

BFG Acı Çekici Silecek

  • c52525cd7d05bddb3ee17eb1ad6b5d6670254252b28b18a1451f604dfff932a4

GMER Sürücü Yükleyici – agmt.exe

  • 8967c83411cd96b514252df092d8d3eda3f7f2c01b3eef1394901e27465ff981
  • a2d8704b5073cdc059e746d2016afbaecf8546daad3dbfe4833cd3d41ab63898

GMER Sürücüsü

  • 18c909a2b8c5e16821d6ef908f56881aa0ecceeaccb5fa1e54995935fcfd12f7

Rentdrv2 Yükleyici – drvIX.exe

  • 2fb88793f8571209c2fcf1be528ca1d59e7ac62e81e73ebb5a0d77b9d5a09cb8

Rentdrv2 Sürücüsü

  • 9165d4f3036919a96b86d24b64d75d692802c7513f2b3054b20be40c212240a5

Altyapı

  • 185.105.46[.]34
  • 185.105.46[.]19
  • 93.188.207[.]110
  • 109.237.107[.]212
  • 217.29.62[.]166
  • 81.177.22[.]182

Patch Manager Plus: 850’den fazla üçüncü taraf uygulamaya otomatik olarak hızlı bir şekilde yama yapın – Ücretsiz Denemeyi Deneyin.



Source link