Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
İranlı Tehdit Aktörü, Geliştirilmiş Güçsüz Arka Kapı Kullanıyor
Akşaya Asokan (asokan_akshaya) •
26 Nisan 2023
İranlı bilgisayar korsanları, görünüşe göre Irak’la ilgilenen İsrailli akademik araştırmacıları hedef alan güncellenmiş bir arka kapı kullanıyor.
Ayrıca bakınız: Canlı Web Semineri | Biometrics’i Hacklemek: Parmak İzlerinizin Güvende Olduğunu Düşünüyorsanız Tekrar Düşünün!
Check Point Security’deki araştırmacılar, “Educated Manticore” adını verdikleri bir grubun, kullanıcıları PowerLess olarak bilinen bir implantın yerleştirilmesiyle sona eren yeni ve geliştirilmiş bir enfeksiyon zinciri başlatmaya ikna etmek için Irak temalı yemi gönderdiğini söyledi.
Diğer araştırmacılar, PowerLess’i Phosphorus olarak bilinen ve Charming Kitten ve APT35 olarak da izlenen İranlı bir aktöre bağladılar. Grubun, köktendinci Şii teokrasisinde uzmanlaşmış akademisyenleri hedef alma geçmişi var.
Fosfor ataması, bu ay yeni bir tehdit grubu adlandırma kuralına geçen Microsoft’tan geliyor. Bilgi işlem devi şimdi grubu Mint Sandstorm olarak adlandırıyor (bkz: Iran State Hacker Saldırganlığı Yükseliyor, Microsoft Diyor).
Check Point, İran’ın bilgisayar korsanlığı faaliyet kümelerini çözmenin zorlaştığını söylüyor. Check Point tarafından bu bulgularda tespit edilen PowerLess kullanan bilgisayar korsanları, Mint Sandstorm ile güçlü bir şekilde örtüşüyor. Ancak şirket araştırmacıları, İranlı tehdit aktörlerinin karmaşık bulmacasında “Faaliyetleri PowerLess arka kapısının etrafına yerleştirmek için yeterli bilgiye sahip değiliz” diye yazdı. Sonuç olarak, etkinliğe kendi adını vermeye karar verdiler.
Grubun yükleme mekanizmaları ve teknikleri, önceki PowerLess dağıtımlarına göre iyileştirmelerdir. Check Point araştırmacıları, bu ilerlemeler arasında öne çıkan “Karma Mod Derlemesi olarak oluşturulmuş .NET yürütülebilir dosyalarının – .NET ve yerel C++ kodunun bir karışımı” kullanımının olduğunu yazdı. Karma mod yazılımında tersine mühendislik yapmak, saf koddan daha zordur.
Bulaşma zinciri, Educated Manticore bir ilk yükleyici ve yük indiriciyi bir klasör yüklediğinde başlar. Cazibe, adlı bir ISO dosyasıdır. Iraq development resources.iso Ayrıca dosya içindeki belgeler.
Yükleyici şu şekilde saklanır: zoom.jpg ISO dosyası içinde. İlk yükleyici, kurbanların dosyayı fark etmeden tıklamasını sağlamak amacıyla boş bir klasör olarak gizlenmiştir. .exe eklenti. Son yük, PowerLess yükünün iki katından fazla komut içeren yeni bir sürümüdür.
Yeni özellikler arasında yüklü programların, işlemlerin ve dosyaların bir listesinin gösterilmesi; Telegram masaüstü uygulamasından kullanıcı verilerini çalmak; ve ekran görüntüleri alıyor. Bu PowerLess yükü ayrıca bir keylogger, bir bilgi hırsızı ve bir ses kaydedici dahil olmak üzere ekstra modülleri indirebilir.