Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Bilgisayar Korsanları Casusluk Amaçlı Yüksek Profilli Hedefleri Belirlemek İçin Sulama Deliği Saldırılarını Kullandı
Jayant Chakravarti (@JayJay_Tech) •
27 Ekim 2023
İran devleti destekli kalıcı bir tehdit grubu, Akdeniz bölgesindeki denizcilik, denizcilik ve lojistik şirketlerine casusluk saldırıları gerçekleştirmek için kötü amaçlı Javascript, kimlik avı e-postaları ve .NET kötü amaçlı yazılımlarının bir kombinasyonunu kullandı.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
PriceWaterhouseCoopers’daki güvenlik araştırmacıları, PwC tarafından Sarı Liderc olarak takip edilen İranlı tehdit grubunun, Akdeniz bölgesindeki lojistik, nakliye ve denizcilik kuruluşlarında çalışan kişileri tespit etmek ve gözetlemek için 2022 ile 2023 yılları arasında sulama deliği taktikleri uyguladığını bildirdi. Su kuyusu saldırısı, kötü niyetli aktörlerin, siteyi ziyaret eden cihazları tehlikeye atmak için meşru bir web sitesini kötü amaçlı yazılımla zehirlemesini içerir.
Yaygın olarak TA456, Crimson Sandstorm, Tortoiseshell veya Imperial Kitten olarak bilinen tehdit grubu, çeşitli meşru web sitelerini ele geçirdi ve web sitesi ziyaretçilerini takip edebilen, cihaz bilgilerini, konum verilerini ve ziyaret zamanlarını yakalayabilen kötü amaçlı Javascript yerleştirdi.
İlk olarak 2018 yılında keşfedilen TA456, İran devletinin yararına istihbarat toplamak amacıyla dünya çapında savunma, havacılık, otomotiv, uzay, denizcilik ve bilişim sektörlerini hedef alan casusluk operasyonları yürütüyor. Güvenlik araştırmacıları, grubun İslam Devrim Muhafızları Birliği ile bağlantılı olduğunu ve Proofpoint’e göre TA456’nın, Devrim Muhafızları ile iletişim kurmak için bir paravan örgüt olarak Tahran merkezli Mahak Rayan Afraz şirketini kullandığını söylüyor.
Facebook’un tehdit istihbarat ekibi 2021’de, grubun ABD’deki savunma ve havacılık endüstrilerindeki askeri personeli ve şirketleri hedef almak için sosyal ağı kullanmaya çalıştığı TA456 siber casusluk operasyonunu kesintiye uğrattığını söyledi (bkz: Facebook, İran APT Kampanyasını Bozuyor).
PwC araştırmacılarına göre, tehdit grubu meşru web sitelerinde Javascript kullanarak yüksek değerli hedefleri belirledikten sonra, bunları yeni bir enjeksiyon tekniği kullanan, ek kötü amaçlı yazılım indiren ve e-postayı komut olarak kullanan IMAPLoader adlı .NET tabanlı bir kötü amaçlı yazılımla tek tek hedef alıyor. -operatörleriyle iletişim kurmak için kontrol kanalı.
TA456, Microsoft .NET uygulamasını bir .NET derlemesi olarak hazırlanmış kötü amaçlı yazılımı yüklemeye zorlamak için AppDomain Manager Injection adı verilen yeni enjeksiyon tekniğini kullandı. Kötü amaçlı yazılım yürütüldüğünde yolunu çıkarır, Windows Konsol penceresini görünümden gizler ve saldırganlarla iletişim kurmak, komutları almak ve ana makineden yakalanan bilgileri sızdırmak için DLL’de sabit kodlanmış e-posta adreslerini ve şifreleri sorgular.
“Tehdit aktörünün, kurbanın ortamı hakkında bilgi edinmek için benzer e-posta tabanlı C2 kanallarını ve sabit kodlu komutları kullanan .NET kötü amaçlı yazılımını geliştirdiğini daha önce gözlemlemiş olsak da, IMAPLoader, bizim de kullandığımız bir teknik olan ‘AppDomain Manager Injection’ tekniği aracılığıyla yürütülüyor. PwC tehdit araştırma ekibi, “Yellow Liderc’in daha önce kullanıldığını gözlemlememiştim, bu da bu tehdit aktörlerinin araç ve tekniklerinde bir evrim olduğunu gösteriyor” dedi.
Araştırmacılar ayrıca TA456’nın, bazıları Microsoft hesapları temalı, bazıları ise Avrupa’daki seyahat ve konaklama sektörlerini hedefleyen çeşitli kimlik avı alanları kullandığını da gözlemledi. PwC, bu kampanyanın kapsamının Akdeniz bölgesinin ötesinde çok çeşitli kişi ve kuruluşları hedeflemek olduğuna inanıyor.
En son kampanyada, tehdit aktörleri kimlik bilgilerini yakalamak için Microsoft oturum açma sayfalarını taklit etti ve VBScript bırakan makro özellikli Excel belgelerini sunmak için kimlik avı tekniklerini kullandı. Betik açıldığında, makroları sessizce diske indirirken kurbanın ilgisini çekmek için sahte bir belge görüntüler.
PwC, “IMAPLoader analizi, tehdit aktörünün stratejik çıkarlarıyla uyumlu çeşitli sektörleri ve bölgeleri hedeflemeye odaklanması nedeniyle, tehdit aktörünün araçlarının büyük olasılıkla gelişmeye devam edeceğini gösteriyor.” diye ekledi.