İranlı Hackerlar Orta Doğu Siber Saldırılarında Yeni BugSleep Arka Kapısını Kullanıyor


Yeni BugSleep Arka Kapısı

MuddyWater olarak bilinen İran ulus devlet aktörü, yakın zamanda gerçekleştirdiği bir saldırı kampanyasının parçası olarak daha önce hiç görülmemiş bir arka kapı kullanırken gözlemlendi. Bu saldırı, kalıcı erişimi sağlamak için meşru uzaktan izleme ve yönetim (RMM) yazılımı dağıtmak gibi bilinen taktiğinden uzaklaşıyor.

Bu, kötü amaçlı yazılım türüne kod adı veren Check Point ve Sekoia adlı siber güvenlik şirketlerinin bağımsız bulgularına göre. Böcek Uykusu Ve ÇamurluÇürüksırasıyla.

Sekoia, The Hacker News ile paylaştığı bir raporda, “Önceki kampanyalarla karşılaştırıldığında, bu sefer MuddyWater enfeksiyon zincirini değiştirdi ve doğrulayıcı olarak meşru Atera uzaktan izleme ve yönetim aracına (RRM) güvenmedi,” dedi. “Bunun yerine, yeni ve belgelenmemiş bir implant kullandıklarını gözlemledik.”

Kampanyanın bazı unsurları ilk olarak 9 Haziran 2024’te İsrail siber güvenlik şirketi ClearSky tarafından paylaşıldı. Hedef ülkeler arasında Türkiye, Azerbaycan, Ürdün, Suudi Arabistan, İsrail ve Portekiz gibi ülkeler yer alıyor.

Siber güvenlik

MuddyWater (diğer adlarıyla Boggy Serpens, Mango Sandstorm ve TA450), İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı olduğu değerlendirilen devlet destekli bir tehdit unsurudur.

Grubun düzenlediği siber saldırılar oldukça tutarlıydı ve Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp ve Syncro gibi çeşitli RMM araçlarını iletmek için e-posta mesajlarındaki hedefli kimlik avı tuzaklarından yararlanıyordu.

Nisan ayının başlarında HarfangLab, Ekim 2023’ün sonundan bu yana İsrail, Hindistan, Cezayir, Türkiye, İtalya ve Mısır’daki işletmelere Atera Agent teslim eden MuddyWater kampanyalarında bir artış fark ettiğini söyledi. Hedeflenen sektörler arasında havayolları, BT şirketleri, telekomünikasyon, ilaç, otomotiv üretimi, lojistik, seyahat ve turizm yer alıyor.

Fransız siber güvenlik firması o dönem yaptığı açıklamada, “MuddyWater, devam eden saldırı kampanyalarının bir parçası olarak ticari e-posta hesaplarına erişim sağlamaya büyük önem veriyor” ifadelerini kullanmıştı.

Orta Doğu Siber Saldırıları

“Bu ihlal edilen hesaplar değerli kaynaklar olarak hizmet ediyor ve grubun hedef odaklı kimlik avı çabalarının güvenilirliğini ve etkinliğini artırmasını, hedeflenen kuruluşlar içinde kalıcılık sağlamasını ve meşru ağ trafiğine karışarak tespit edilmekten kaçınmasını sağlıyor.”

Son saldırı zincirleri de farklı değil; meşru şirketlere ait ele geçirilmiş e-posta hesapları, tehdit aktörü tarafından daha önce Atera Agent’ı yaymak için kötüye kullanılan bir Egnyte alt etki alanına doğrudan bir bağlantı veya PDF eki içeren hedefli kimlik avı mesajları göndermek için kullanılıyor.

BugSleep, diğer adıyla MuddyRot, tehlikeye atılmış ana bilgisayara/ana bilgisayardan keyfi dosyaları indirme/yükleme, ters bir kabuk başlatma ve kalıcılık ayarlama yetenekleriyle donatılmış, C’de geliştirilmiş bir x64 implantıdır. Komuta ve kontrol (C2) sunucusuyla iletişimler, 443 numaralı bağlantı noktasındaki ham bir TCP soketi üzerinden gerçekleşir.

Sekoia, “C2’ye gönderilecek ilk mesaj, ana bilgisayar adı ve kullanıcı adının eğik çizgiyle birleştirilmesiyle oluşan kurban ana bilgisayar parmak izidir,” dedi. “Kurban ‘-1’ alırsa, program durur, aksi takdirde kötü amaçlı yazılım C2’den yeni bir emir beklemek için sonsuz bir döngüye girer.”

MuddyWater’ın neden özel bir implant kullanmaya başladığı henüz netlik kazanmadı ancak güvenlik sağlayıcıları tarafından RMM araçlarının daha fazla izlenmesinin bunda rol oynamış olabileceği düşünülüyor.

Check Point, “MuddyWater’ın Ortadoğu’da, özellikle İsrail’de artan faaliyetleri, bölgedeki çok çeşitli hedeflere karşı faaliyet göstermeye devam eden bu tehdit aktörlerinin ısrarcı doğasını ortaya koyuyor” dedi.

“Tutarlı bir şekilde kimlik avı kampanyaları kullanmaları ve artık BugSleep adlı özel bir arka kapı kullanmaları, tekniklerinde, taktiklerinde ve prosedürlerinde (TTP’ler) dikkate değer bir gelişmeye işaret ediyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link