TA455 olarak bilinen İranlı tehdit aktörünün, en az Eylül 2023’ten bu yana sahte işler sunarak havacılık endüstrisini hedef alan Dream Job kampanyasının kendi versiyonunu düzenlemek için Kuzey Koreli bir bilgisayar korsanlığı grubunun taktik kitabından bir sayfa çıkardığı gözlemlendi.
İsrailli siber güvenlik şirketi ClearSky, Salı günü yaptığı bir analizde “Kampanya, SlugResin arka kapısını etkinleştiren SnailResin kötü amaçlı yazılımını dağıttı” dedi.
Google’ın sahibi olduğu Mandiant tarafından UNC1549 ve Yellow Dev 13 olarak da takip edilen TA455’in, CALANQUE, Charming Kitten, CharmingCypress, ITG18, Mint Sandstorm (eski adıyla Fosfor), Haber Spikeri adlarıyla bilinen APT35 içerisinde bir alt küme olduğu değerlendiriliyor. , TA453 ve Sarı Garuda.
İran’ın İslam Devrim Muhafızları Birliği’ne (IRGC) bağlı olan grubun, Duman Kum Fırtınası (önceden Bohrium) ve Kızıl Kum Fırtınası (önceden Curium) olarak adlandırılan kümelerle taktiksel örtüşmeleri paylaştığı söyleniyor.
Bu Şubat ayının başlarında, İsrail, BAE, Türkiye, Hindistan ve Arnavutluk da dahil olmak üzere Orta Doğu’daki havacılık, havacılık ve savunma endüstrilerini hedefleyen bir dizi yüksek hedefli kampanyanın arkasında bu düşman kolektifin olduğu düşünülmüştü.
Saldırılar, MINIBIKE ve MINIBUS adlı iki arka kapıyı sunmak için işle ilgili tuzaklar kullanan sosyal mühendislik taktiklerinin kullanılmasını içeriyor. Kurumsal güvenlik firması Proofpoint şunu da gözlemlediğini söyledi: “TA455, Bize Ulaşın sayfası veya satış talebi aracılığıyla ilgilenilen hedeflerle profesyonel bir şekilde iletişim kurmak için paravan şirketleri kullanıyor.”
Ancak bu, tehdit aktörünün saldırı kampanyalarında iş temalı tuzaklardan yararlandığı ilk sefer değil. PwC, “Siber Tehditler 2022: Geçmişe Bakışta Bir Yıl” raporunda, TA455 tarafından gerçekleştirilen, saldırganların çeşitli sosyal medya platformlarında gerçek veya hayali şirketler için personel alımı yapan kişiler gibi davrandığı casusluk amaçlı bir faaliyet tespit ettiğini söyledi.
Şirket, “Yellow Dev 13, kişilikleri için yapay zeka (AI) tarafından oluşturulan çeşitli fotoğraflar kullandı ve operasyonları için en az bir gerçek kişiyi taklit etti” dedi.
ClearSky, Lazarus Group ve TA455 tarafından yürütülen iki Dream Job kampanyası arasında, kötü amaçlı yazılım dağıtmak için iş fırsatı yemlerinin kullanımı ve DLL yan yüklemesi de dahil olmak üzere birçok benzerlik tespit ettiğini söyledi.
Bu durum, ikincisinin Kuzey Koreli bilgisayar korsanlığı grubunun atıf çabalarını karıştırmak için kasıtlı olarak kopyaladığı ya da bir tür araç paylaşımının olduğu olasılığını artırdı.
Saldırı zincirleri sahte işe alım web sitelerinden (“careers2find[.]com”) ve diğer dosyaların yanı sıra, EXE dosyası çalıştırıldığında dışarıdan yüklenen bir yürütülebilir dosya (“SignedConnection.exe”) ve kötü amaçlı bir DLL dosyası (“secur32.dll”) içeren bir ZIP arşivi dağıtmak için LinkedIn profillerini kullanır.
Microsoft’a göre secur32.dll, SnailResin adlı bir truva atı yükleyicisidir ve BassBreaker arka kapısının güncellenmiş bir sürümü olan SlugResin’i yüklemekten sorumludur; bu, tehlikeye atılmış bir makineye uzaktan erişim sağlayarak tehdit aktörlerinin ek kötü amaçlı yazılım dağıtmasına, kimlik bilgilerini çalmasına ve ayrıcalıkları yükseltmesine etkili bir şekilde olanak tanır. ve ağdaki diğer cihazlara yanal olarak ilerleyin.
Saldırılar aynı zamanda GitHub’un bir veri havuzu içindeki gerçek komuta ve kontrol sunucusunu kodlayarak bir ölü bırakma çözümleyicisi olarak kullanılmasıyla da karakterize ediliyor, böylece saldırganın kötü niyetli işlemlerini gizlemesine ve meşru trafiğe karışmasına olanak tanıyor.
ClearSky, “TA455, başarı şansını artırırken tespit işlemini en aza indirmek için dikkatle tasarlanmış çok aşamalı bir enfeksiyon süreci kullanıyor” dedi.
“İlk hedef odaklı kimlik avı e-postaları muhtemelen işle ilgili belgeler olarak gizlenen kötü amaçlı ekler içeriyor ve bunlar, meşru ve kötü amaçlı dosyaların bir karışımını içeren ZIP dosyaları içinde daha da gizleniyor. Bu katmanlı yaklaşım, güvenlik taramalarını atlamayı ve mağdurları kötü amaçlı yazılımı çalıştırmaları için kandırmayı amaçlıyor. “