APT34 olarak takip edilen İranlı tehdit aktörü, arka kapının bir çeşidinin konuşlandırılmasına yol açan yeni bir kimlik avı saldırısıyla ilişkilendirildi. Yan Bükülme.
NSFOCUS Güvenlik Laboratuvarları geçen hafta yayınlanan bir raporda, “APT34 yüksek düzeyde saldırı teknolojisine sahip, farklı hedef türleri için farklı saldırı yöntemleri tasarlayabiliyor ve tedarik zinciri saldırı kabiliyetine sahip” dedi.
Cobalt Gypsy, Hazel Sandstorm (eski adıyla Europium), Helix Kitten ve OilRig isimleriyle de bilinen APT34’ün, en az 2014’ten beri Orta Doğu’daki telekomünikasyon, hükümet, savunma, petrol ve finansal hizmetler sektörlerini mızrakla hedef alma konusunda bir geçmişi var. -çeşitli arka kapıların açılmasıyla sonuçlanan kimlik avı tuzakları.
Bilgisayar korsanlığı ekibinin en önemli özelliklerinden biri, tespit edilme olasılığını en aza indirmek ve güvenliği ihlal edilmiş ana bilgisayarlarda uzun süreler boyunca yer edinmek için yeni ve güncellenmiş araçlar oluşturma becerisidir.
SideTwist’in ilk olarak Nisan 2021’de APT34 tarafından kullanıldığı belgelendi ve Check Point, onu dosya indirme/yükleme ve komut yürütme kapasitesine sahip bir implant olarak tanımladı.
NSFOCUS tarafından tanımlanan saldırı zinciri, kötü amaçlı bir makronun içine yerleştirilen ve dosyada depolanan Base64 kodlu veriyi çıkarıp başlatan yem niteliğinde bir Microsoft Word belgesiyle başlıyor.
Yük, GCC kullanılarak derlenen ve uzak bir sunucuyla (11.0.188) iletişim kuran SideTwist’in bir çeşididir.[.]38) daha fazla komut almak için.
Bu gelişme, Fortinet FortiGuard Labs’ın, Microsoft Office’in Denklem Düzenleyicisi’ndeki altı yıllık bir bellek bozulması güvenlik açığı olan CVE-2017-11882’yi ve CVE’yi kullanan özel hazırlanmış bir Microsoft Excel belgesini kullanarak yeni bir Ajan Tesla çeşidini yayan bir kimlik avı saldırısını yakalamasıyla gerçekleşti. -2018-0802.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Becerilerinizi Güçlendirin
Güvenlik araştırmacısı Xiaopeng Zhang, “Ajan Tesla çekirdek modülü, kurbanın cihazından hassas bilgiler topluyor” dedi. “Bu bilgiler, bazı yazılımların kayıtlı kimlik bilgilerini, kurbanın tuş günlüğü bilgilerini ve ekran görüntülerini içerir.”
Siber güvenlik firması Qualys tarafından paylaşılan verilere göre CVE-2017-11882, 31 Ağustos 2023 gibi yakın bir tarihte “467 kötü amaçlı yazılım, 53 tehdit aktörü ve 14 fidye yazılımı” tarafından istismar edilen, bugüne kadar en çok tercih edilen kusurlardan biri olmaya devam ediyor.
Bu aynı zamanda, virüslü ana bilgisayarlarda Agent Tesla, LimeRAT ve Remcos RAT gibi kötü amaçlı yazılım türlerini başlatmak için ISO görüntü dosyası yemlerini kullandığı tespit edilen başka bir kimlik avı saldırısının keşfinin ardından geldi.