-1.webp "IIS Tabanlı Arka Kapılar")
İran İstihbarat ve Güvenlik Bakanlığı (MOIS) IIS ile bağlantılı olduğu tespit edilen yeni bir tehdit aktörünün siber casusluk kampanyaları yürüttüğü ortaya çıktı. Hedefleri Orta Doğu’daki hükümet, askeri, finans ve telekomünikasyon sektörleridir.
Bu tehdit aktörü Scarred Manticore adı altında takip ediliyor ve diğer iki tehdit aktörü Storm-0861 ve OilRig ile yakından örtüşüyor. Üstelik Suudi Arabistan, Birleşik Arap Emirlikleri, Ürdün, Kuveyt, Umman, Irak ve İsrail gibi birçok ülkede de kurbanların olduğu bildirildi.
LIONTAIL Çerçevesi
Scarred Manticore, kötü amaçlı yazılım faaliyetleri için yeni kötü amaçlı yazılım çerçevesi LIONTAIL’i kullanıyor. Bu kötü amaçlı yazılım çerçevesi, bir dizi özel kabuk kodu yükleyicisi, bellekte yerleşik kabuk kodu verileri ve C ile yazılmış bir arka kapı içerir.
Bu arka kapı, tehdit aktörlerinin HTTP istekleri aracılığıyla uzak komutları yürütmesine olanak tanıyan Windows sunucularına kurulur. Ayrıca arka kapı, kendi yapılandırmasında sağlanan URL’lerin listesi için dinleyiciler de kurar ve tehdit aktörleri tarafından bu belirli URL’lere gönderilen isteklerden gelen verileri yürütür.
2019’dan Beri Varlığımız
Bu tehdit aktörü en az 2019’dan beri aktif. Orta Doğu bölgesindeki kuruluşlara ait, internete dönük, güvenliği ihlal edilmiş Windows sunucularına çeşitli araçlar yerleştirdiler.
Dahası, araç setleri önemli bir gelişme sürecinden geçmiş gibi görünüyor; açık kaynak tabanlı, web üzerinden dağıtılan bir proxy olarak başladı ve hem özel olarak yazılmış hem de açık kaynak bileşenleri kullanan çeşitli ve güçlü bir araç seti haline gelecek şekilde gelişti.
Ancak bu tehdit aktörü hakkında Checkpoint tarafından, tehdit aktörünün davranışı, kod analizi, ilk erişim, C&C iletişimi, saldırı yöntemleri ve diğer ayrıntılar hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
- daa362f070ba121b9a2fa3567abc345edcde33c54cabefa71dd2faad78c10c33
- f4639c63fb01875946a4272c3515f005d558823311d0ee4c34896c2b66122596
- 2097320e71990865f04b9484858d279875cf5c66a5f6d12c819a34e2385da838
- 67560e05383e38b2fcc30df84f0792ad095d5594838087076b214d849cde9542
- 4f6351b8fb3f49ff0061ee6f338cd1af88893ed20e71e211e8adb6b90e50a3b8
- f6c316e2385f2694d47e936b0ac4bc9b55e279d530dd5e805f0d963cb47c3c0d
- 1485c0ed3e875cbdfc6786a5bd26d18ea9d31727deb8df290a1c00c780419a4e
- 8578bff36e3b02cc71495b647db88c67c3c5ca710b5a2bd539148550595d0330
- c5b4542d61af74cf7454d7f1c8d96218d709de38f94ccfa7c16b15f726dc08c0
- 9117bd328e37be121fb497596a2d0619a0eaca44752a1854523b8af46a5b0ceb
- e1ad173e49eee1194f2a55afa681cef7c3b8f6c26572f474dec7a42e9f0cdc9d
- a2598161e1efff623de6128ad8aafba9da0300b6f86e8c951e616bd19f0a572b
- 7495c1ea421063845eb8f4599a1c17c105f700ca0671ca874c5aa5aef3764c1c
- 6f0a38c9eb9171cd323b0f599b74ee571620bc3f34aa07435e7c5822663de605
- 3875ed58c0d42e05c83843b32ed33d6ba5e94e18ffe8fb1bf34fd7dedf3f82a7
- 1146b1f38e420936b7c5f6b22212f3aa93515f3738c861f499ed1047865549cb
- b71aa5f27611a2089a5bbe34fd1aafb45bd71824b4f8c2465cf4754db746aa79
- da450c639c9a50377233c0f195c3f6162beb253f320ed57d5c9bb9c7f0e83999
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.