Ağustos 2024 itibarıyla İran merkezli siber aktörler, birçok sektördeki ABD ve yabancı kuruluşları sömürmeye devam ediyor.
Hedeflenen birincil sektörler eğitim, finans, sağlık, savunma ve yerel hükümet kuruluşlarıdır. Sadece bu değil, bazı ülkeler arasında İsrail, Azerbaycan ve BAE de bulunmaktadır.
CISA ve FBI, ABD kuruluşlarına karşı bu operasyonları yürütmenin ve gerçekleştirmenin bir parçası olarak, potansiyel fidye yazılımı dağıtımını elde etmek için bağlı aktörlerin ağlarına erişim sağlamanın ilk aşaması olduğunu düşünüyor.
İran hükümetiyle bağlantılı olan ve siber alanı da kullandıkları bilinen bu tehdit aktörleri, İran Hükümeti çıkarları için bilgisayar ağı operasyonları yürütüyor, İsrail ve Azerbaycan şirketlerinden kritik teknik bilgiler topluyor.
Taktikleri, teknikleri ve prosedürleri (TTP’ler) arasında VPN güvenlik açıklarından faydalanmak da yer alıyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
Teknik Analiz
2017’den bu yana, Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM, Lemon Sandstorm, Br0k3r ve Petfinder ile ilişkili olduğu bilinen veya şüphelenilen İranlı siber aktörler, okullar, hükümetler, bankalar ve sağlık hizmetleri de dahil olmak üzere ABD kurumlarının sistemlerine saldırmak için faaliyet gösteriyor.
Google raporuna göre, yöntemleri genellikle Check Point Güvenlik Ağ Geçitlerinde CVE-2024-24919, Palo Alto Networks PAN-OS’ta CVE-2024-3400, Citrix Netscaler’da CVE-2019-19781 ve CVE-2023-3519, F5 BIG-IP’de CVE-2022-1388 ve Pulse Secure/Ivanti VPN’lerde CVE-2024-21887 gibi belirli CVE’leri istismar etmeye dayanıyor.
Keşif için Shodan’ı kullanıyorlar ve kalıcılık ve uzaktan erişim için webshell (netscaler.php, ctxHeaderLogon.php), Meshcentral ve AnyDesk gibi araçlardan yararlanıyorlar.
Aktörler, zamanlanmış görevler oluşturarak ve değiştirerek bir grafiksel kullanıcı arayüzünü (GUI) kötüye kullanıyorlar, SpaceAgentTaskMgrSHR.
Aktörler, ayrıcalık yükseltme ve savunma atlama eylemlerinin yapıldığı veya planlandığı, DLL yan yükleme yöntemleri ve tehlikeye atılmış kimlik bilgilerini kullanarak çeşitli Microsoft SysInternals uygulamalarını kötüye kullanıyor.
ISE’yi de içeren PowerShell olarak da bilinen Sistem Yöneticisi Aracı’nı ve C2 için Ligolo, Ngrok vb. gibi tünelleme araçlarını kullanırlar.
Grup, ağlara erişim kiralamak ve dosyaların şifrelenmesine yardımcı olmak için NoEscape, Ransomhouse veya ALPHV (BlackCat) gibi fidye yazılımı aktörleriyle ortaklık kurdu.
Ayrıca, “Pay2Key” olarak bilinen hack-and-leak kampanyaları veya bunların bir çeşidini yürütüyorlar ve Danesh Novin Sahand (ID: 14007585836) gibi kimlikleri kullanarak devlet casusluğu yapıyorlar.
Faaliyetleri İran çıkarlarıyla örtüşüyor, zira ABD ve Ortadoğu devletleri tarafından savunulan bilgisayar ağlarını hedef alıyorlar ve İran hükümetine karşı bağımsız siber suç şebekeleri yürütmeye devam ediyorlar.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- IP’ler ve göstergeler içeren trafik kayıtlarını inceleyin.
- CVE-2024-3400, CVE-2022-1388, CVE-2019-19781 ve CVE-2023-3519 için yamaları uygulayın.
- Yama uygulanmadan önce ağ tehlikeye atılmışsa, çalınan kimlik bilgilerini araştırın.
- Belirli kullanıcı adları, NGROK, Ligolo ve webshell’ler için sistemleri kontrol edin.
- Dosyalara giden istekleri izleyin.catbox[.]moe ve ***.ngrok[.]ben.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial