Microsoft’taki siber güvenlik araştırmacıları, İran Devrim Muhafızları Ordusu’na bağlı devlet destekli bir tehdit grubu olan Peach Sandstorm’un, Nisan-Temmuz 2024 arasında cephaneliğine yeni bir çok aşamalı arka kapı olan Tickler’ı eklediğini keşfetti.
Tehdit aktörleri, askeri ve küresel iletişim gibi modern tesisler için hayati öneme sahip uydu cihazlarına saldırıyor.
Bu tür saldırıları gerçekleştirenler uydu sistemlerini ele geçirerek iletişimi ve veri ihlallerini kesintiye uğratabilir, navigasyon ve zamanlama bilgilerini etkileyebilir.
Bu özel kötü amaçlı yazılım, ABD ve BAE genelindeki uydu, iletişim, petrol veya gaz ve hükümet endüstrilerini etkiledi.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Teknik Analiz
Aynı zamanda, ‘go-http-client’ kullanıcı aracısını taklit eden Peach Sandstorm, ABD ve Avustralya’da çoğunlukla savunma, uzay, eğitim ve kamu sektörlerindeki binlerce kuruluşa karşı parola püskürtme saldırıları gerçekleştiriyordu.
Grup ayrıca, sahte Rus ve Batılı profiller kullanarak LinkedIn üzerinden istihbarat toplama faaliyetlerinde bulunarak Amerikalı ve Batı Avrupalı kişilerle iletişime geçerek onlara iş teklifleri hazırlamaya çalıştı.
Derinlemesine bir uzlaşmanın ardından, ek C&C hizmetleri için sahte Azure abonelikleri de kullandılar.
Microsoft, bu hareketliliğin birçok sektörde gerçekleştiğini tespit etti ve şirket, saldırıya uğrayan müşterileriyle doğrudan iletişime geçti.
Microsoft Threat Intelligence tarafından Temmuz 2024’te Peach Sandstorm tarafından dağıtılan iki adet Tickler kötü amaçlı yazılım örneği tespit edildi.
İlk örnek, “kernell32.dll” dosyasını bulmak için PEB geçişini kullanan 64 bitlik bir C/C++ PE dosyası olan PDF olarak gizlenmişti. Bu örnek ayrıca ağ verilerini topladı ve bunları HTTP POST aracılığıyla bir C2 sunucusuna gönderdi.
.webp)
Tickler Kötü Amaçlı Yazılımının ikinci örneği olan sold.dll, DLL yan yüklemesi için meşru Windows ikili dosyaları (msvcp140.dll, LoggingPlatform.dll, vcruntime140.dll, Microsoft.SharePoint.NativeMessaging.exe) ve systeminfo, dir, run, delete, upload, download gibi çeşitli komutları yürütme yeteneğine sahip kötü amaçlı DLL’ler de dahil olmak üzere ek yükler indirdi.
Peach Sandstorm, hem yeni hesaplar aracılığıyla hem de mevcut eğitim sektörü hesaplarını tehlikeye atarak öğrenci aboneliklerine sahip Azure kiracıları oluşturarak C2 altyapısını kurdu.
Birden fazla azurewebsitesi kurdular[.]net alan adlarını C2 düğümleri olarak kullanıyor, bu taktik Smoke Sandstorm gibi diğer İran gruplarında da gözlemlendi.
Peach Sandstorm’un uzlaşma sonrası faaliyetleri şunları içeriyor:
- Avrupa savunma örgütünde yatay SMB hareketi.
- Bir ilaç şirketine şifre saldırısı yapılmasının ardından AnyDesk kurulum girişimi.
- Orta Doğu uydu operatöründeki Microsoft Teams’de kötü amaçlı ZIP aracılığıyla AD anlık görüntüsü yakalama.
Bu teknikler Peach Sandstorm’un erişimi genişletmesine, kalıcılığı korumasına ve tehlikeye atılmış ağlardaki hassas verileri toplamasına olanak tanır.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- Parolaları sıfırlayın, oturum çerezlerini iptal edin ve saldırganın MFA değişikliklerini geri alın.
- Azure Güvenlik Ölçütünü uygulayın, eski kimlik doğrulamasını engelleyin ve MFA’yı zorunlu kılın.
- Hesaplarınızı en az ayrıcalıkla güvenceye alın, Entra Connect Health ile izleyin ve parola koruması kullanın.
- Bulut ve gerçek zamanlı korumayı, EDR engelleme modunu ve kurcalama korumasını etkinleştirin.
- Kullanıcıları oturum açma güvenliği ve parolasız kimlik doğrulamasına geçiş konusunda eğitin.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!