Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Eset, Bilgisayar Korsanlarının Erişim Kazanmak İçin Muhtemelen ProxyLogon’u Kullandığını Söyledi
Akşaya Asokan (asokan_akshaya) •
12 Eylül 2023
İran devletine bağlı bilgisayar korsanları, devam eden bir casusluk kampanyasının parçası olarak halihazırda iki düzineden fazla İsrail kuruluşunu mağdur etmiş olan yeni bir kötü amaçlı yazılım arka kapısını dağıtmak için savunmasız Microsoft Exchange Sunucularını hedef alıyor.
Ayrıca bakınız: Çin’in Yarı İletken Baskısı: Artı İşaretinde Avrupa
Kampanya 2021’den beri aktif ve Eset’teki araştırmacıların Sponsor olarak adlandırdığı, daha önce görülmemiş bir kötü amaçlı yazılım arka kapısını kullanıyor. Siber güvenlik firması, bilgisayar korsanlığı grubunu “Balistik Bobcat” olarak takip ediyor. Charming Kitten, APT35 ve Mint Sandstorm (eski adıyla Fosfor) olarak da bilinir. Grup gazetecileri, savunma yüklenicilerini ve diplomatları gözetledi.
Son kampanyada grup İsrail’deki 32 kuruluşu hedef alırken, Orta Doğu ve Brezilya’da iki kurban daha tespit edildi. Eset’in belirttiği göstergeler arasında, saldırıları Balistik Bobcat’in IP adresine sahip aktif bir komuta ve kontrol sunucusu olduğu düşünülüyor. 162.55.137.20Bu, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın 2021’in sonlarında İran hükümeti destekli bilgisayar korsanlarına ait altyapı olarak işaretlediğiyle aynı.
Sponsor arka kapısı, ilk olarak 2021’de belgelenen Balistik Bobcat arka kapısı olan PowerLess’in bir versiyonudur.
Bilgisayar korsanlarının sistemlere ilk erişim noktası, muhtemelen 2021’de ortaya çıkarılan, CVE-2021-26855 olarak adlandırılan ve ProxyLogon olarak bilinen, yaygın olarak kullanılan bir Exchange kusuruydu. Grup ilk erişimi elde ettikten sonra, tespit edilmekten kaçınmak için toplu dosyaları bırakmaya başladı.
Raporda, “Eset telemetrisinde belirlenen 34 kurbanın çoğu, önceden seçilmiş ve araştırılmış kurbanlar yerine, fırsat kurbanları olarak tanımlanabilir” deniyor.
Grup, otomatik oturum açma için Plink ve MerlinAgent adlı bir istismar sonrası çerçeve dahil olmak üzere bir dizi açık kaynak araç kullandı. Grup, potansiyel tespitini önlemek için bunları yazılım güncellemeleri olarak gizledi.