Çığır açan bir açıklamada, CloudSek’in Triad birimi, İran’ın İslam Devrim Muhafız Kolordusu’na (IRGC) bağlı karmaşık bir casusluk aparatını ortaya çıkaran büyüleyici yavru kedi (APT35) üzerine ışık tutan iç operasyonel malzemeler ortaya çıkardı.
Sızıntı, Jalali takvim tarihleri ile işaretlenmiş ve Tahran zamanıyla hizalanmış ve özgünlüğünün altını çizen 100’den fazla Farsça dilli dosyayı içerir.
APEX’te, bir “yönetim” hücresi, kripto para birimi işlemlerini işleyen ve sahteciliği belgeleyen bir “Sarrafi” yüklenicisi tarafından desteklenen strateji ve bütçe onaylarını düzenler.
Altlarında, teknik ve operasyonel ekipler özel rollerle tanımlanır. Mehdi Sharifi liderliğindeki idari personel sözleşmeleri ve personel lojistiklerini koordine ederken, Esmaeil Heydari ve Vahid Molavi gibi çekirdek operatörler aylık 160 saati aşan günlük iş yüklerini yürütüyor.
Özel bir penetrasyon ekibi, kitle modem DNS manipülasyon kampanyalarını yürüten bir SQL enjeksiyon uzmanı Ali ve Web-Sploitasyon araçlarını İsrail alanlarını hedeflemek için otomatikleştiren Muhammed yer alıyor.
Kötü amaçlı yazılım geliştiricileri, özellikle “HSN”, Active Directory hakimiyeti için RTM projesi altında özel fareleri geliştirir.
Amir Hossein Master büyük ölçekli yönlendirici sömürüsü gibi altyapı uzmanları, Goahead, TP-Link ve Cisco cihazlarını toplu olarak tehlikeye atmak için yönlendiriciler ve yönlendiriciler ploit otomatik eksploiterleri konuşlandırıyor.
Hızlı sömürü ve esnek kalıcılık
APT35’in ayırt edici özelliği, kamu açıklamalarına bir gün yanıttır. İsrail, Suudi Arabistan, Türkiye, Ürdün, BAE ve Azerbaycan’daki güvenlik açıklarını tarayarak, isimsiz hızlı yanıt birimi silahlı CVE-2024-1709.
Connectwise sömürü için bir konsept kanıtı snippet, Python’da hazırlanmış aerodinamik bir HTTP isteğini ortaya koyuyor:
pythonimport requests
url = "https:///v4_6_release/AuthenticateUser"
payload = {"UserName":"admin","Password":"password"}
r = requests.post(url, json=payload, timeout=5)
if "Set-Cookie" in r.headers:
print("Exploit succeeded, session cookie:", r.headers["Set-Cookie"])
Bu hızlı silahlandırma, daha geniş şok ve beklenmedik yaklaşımlarını destekleyerek gerçek zamanlı güvenlik açığı pivotlamasını sağlıyor.
Kalıcılık, Sentinelone ve Trend Micro gibi EDR çözümlerini atlayan web kabukları ve şaşkın DLL yükleri ile elde edilir.
Özel yükleyiciler, tehlikeye atılan ağlarda dayanakları korurken, şifrelenmiş veracrypt konteynerleri ve VM anlık görüntüleri operasyonel güvenliği korur.
Sunum Mekaniği
Mağdur, Orta Doğu’daki Yasal, Akademik, Havacılık, Enerji, Finansal ve Devlet Sektörlerini, bölgedeki ABD ajanslarına ve kilit Asya kuruluşlarına uzanıyor.
Ürdünlü bir hukuk hizmetleri firması olan Qistas, 74 GB’lik Sefil Yargı Arşivi ve Avukat Dosyaları’na yol açan özel tedarik zinciri saldırılarına avlandı.
Iblaw operasyonları, savunma yüklenicilerini Körfez eyaletleriyle ilişkilendiren sözleşmeleri çalmak için değişim sunucularını tehlikeye attı.
Wise University gibi akademik hedefler 11.000’den fazla öğrenci kaydı veritabanı dökümüne katlandı. Aerodinamik IOC tablosu, uzlaşmanın kritik göstergelerini vurgular:
Sosyal mühendislik kampanya omurgasını oluşturur. Majid’in ekibi, Facebook reklamları ve telgraf kanallarını kullanarak çok platformlu kimlik avı düzenleyerek yaptırımlı kart geçici çözümleri aracılığıyla ödeme kısıtlamalarının üstesinden gelir. SMS tabanlı Sminging, 50+ değerlendirilen panellerden yararlanırken, dövme binance KYC belgeleri hesap oluşturmayı kolaylaştırır.
Bu eşi görülmemiş sızıntı, APT35’in tüm değer zincirini haritalar-stratejik planlama ve idari yönetimden en son istismar gelişimine ve büyük ölçekli veri hırsızlığına kadar.
IRGC’ye bağlı aktör, sürekli, çok yıllı erişim yoluyla stratejik sabır gösterir; özel fareler ve EDR kaçırma yoluyla teknik yetenek; ve altı ülkede eşzamanlı kampanyaları kapsayan operasyonel genişlik.
Yasal ve devlet kuruluşlarının uzlaşması sadece İran’ın bölgesel istihbarat hırslarını aydınlatmakla kalmaz, aynı zamanda devlete uyumlu siber-ihale gruplarının ortaya koyduğu akut tedarik zinciri ve ulusal güvenlik risklerinin altını çizmektedir.
Açıklanan güvenlik açıklarının sürekli izlenmesi ve hızlı bir şekilde yamalanması, bu gelişen tehdit manzarasını azaltmak için zorunludur.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.