İranlı bir ulus devlet grubu olan MERCURY, Microsoft’un Tehdit İstihbarat ekibi tarafından hibrit ortamlarda bir fidye yazılımı saldırısı kisvesi altında faaliyet gösterdiğini tespit etti.
2017’den beri MERCURY, Orta Doğu’daki hedeflere karşı casusluk kampanyaları yürütüyor ve bu devlet destekli grup mali olarak motive oluyor.
Mevcut devam eden operasyonlarında, hem şirket içi hem de bulut ortamlarını aktif olarak hedefliyorlar. Kurtarılamaz eylemlerin bir sonucu olarak, operasyonun birincil hedefleri yıkım ve bozulma idi.
ABD hükümeti, MuddyWater’ı (namı diğer MERCURY) İran’da bu grupla bağlantılı bir devlet kurumu olan İstihbarat ve Güvenlik Bakanlığı’na (MOIS) alenen bağladı.
MERCURY’nin Diğer İsimleri
Siber güvenlik topluluğu bu grubu birkaç isim altında takip ederken, onları aşağıda listeledik:-
- Bataklık Yılanları
- Kobalt Ulster
- Dünya Vetala
- ITG17
- Çamurlu su
- tohum kurdu
- statik yavru kedi
- TEMP.Zagros
- Sarı Nix
Microsoft, MERCURY’nin ölümcül saldırılar gerçekleştirmek için bilinen bir siber casusluk grubu olan DEV-1084 ile ortaklık kurduğunu tespit etti. DEV-1084, MERCURY hedef ortama erişim sağladıktan sonra harekete geçti.
DEV-1084 ve MERCURY Arasındaki Bağlantılar
Aşağıda DEV-1084 ve MERCURY arasındaki tüm önemli bağlantılardan bahsetmiştik:-
- DEV-1084’ün bir IP adresinden (146.70.106) tehdit e-postaları gönderdiği gözlemlendi.[.]89) MERCURY ile bağlantılı.
- DEV-1084, geçmişte MERCURY tarafından kullanılan aynı VPN sağlayıcısını (MULLVAD VPN) kullandı.
- DEV-1084, Rport’u ve MERCURY’nin önceki saldırılarda da kullandığı araçlar olan Ligolo’nun özelleştirilmiş bir sürümünü kullandı.
- DEV-1084 vatacloud’u kullandı[.]Olay sırasında komuta ve kontrol (C2) için com etki alanı, MERCURY operatörlerinin kontrol ettiği etki alanıyla aynıdır.
Teknik Analiz
Microsoft’un yaptığı değerlendirmede, MERCURY operatörlerinin hedeflere erişmek için yamasız internete bakan bir cihazı kullandıkları gözlemlendi. DEV-1084’e işi yürütmesi için Mercury tarafından erişim verildi.
Tehdit aktörleri erişim sağladıktan sonra, kalıcılığı sürdürmek için çeşitli araçlar ve teknikler kullanırlar. Aynı zamanda bu, güvenliği ihlal edilmiş cihazlara uzun bir süre boyunca erişim sağlamalarına olanak tanır.
Tüm bu süreci uyguladıktan sonra, tehdit aktörleri aşağıdaki yeteneklere sahip olur:-
- Web kabuklarını yükleme
- Yerel bir kullanıcı hesabı ekleme ve ayrıcalıkları yerel yöneticiye yükseltme
- RPort, Ligolo ve eHorus gibi yasal uzaktan erişim araçlarını yükleme
- Özelleştirilmiş bir PowerShell komut dosyası arka kapısı yükleme
- Kimlik bilgilerini çalmak
DEV-1084, son derece ayrıcalıklı kimlik bilgilerinden ödün verdikten sonra şirket içi cihazları şifrelemek ve aşağıdakiler gibi büyük miktarda bulut öğesini silmek için bundan yararlandı:-
- Sunucu çiftlikleri
- Sanal makineler
- Depolama hesapları
- Sanal ağlar
Ayrıca, kötü niyetli aktörler, Exchange Web Hizmetlerinden yararlanarak e-posta gelen kutularını nihai olarak kontrol eder. Burada, birçok arama işlemini gerçekleştirmek için bu erişimi kullanırlar.
Bu sayede, önde gelen bir örgüt üyesinin kimliğini tespit ederek, iç ve dış muhataplara mesaj iletmelerini sağlarlar.
Yukarıda belirtilen eylemlerin sabah 12:38 ile bitiş saati olan sabah 03:21 arasında yaklaşık üç saat içinde gerçekleştiği tahmin edilmektedir.
DEV-1084’ün şu an itibariyle otonom bir tehdit unsuru olduğu doğrulanamıyor ve diğer İranlı tehdit unsurlarıyla birlikte hareket ettiği iddiasını destekleyecek somut bir kanıt da yok.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin
İlgili Okuma: