Orta Doğu’daki hükümet hedeflerinden taviz vermeye odaklanan Filistin yanlısı bir siber casusluk grubu, gelişmiş bir ilk erişim indiricisi ile saldırı araçlarını geliştirdi; bu sırada İsrail ve Filistin topraklarında ortaya çıkan çatışmayı büyük ölçüde görmezden geldi.
TA402 (aka Moleratlar ve Frankenstein), Güvenlik firması Proofpoint, Kasım ayında yayınlanan bir analizde, on yıldan fazla bir süredir aktif olan IronWind adlı yeni ve gelişmiş bir aracı piyasaya sürdüğünü ve Orta Doğu ve Kuzey Afrika’daki devlet kurumları içindeki sistemleri tehlikeye atmayı amaçlayan üç kampanyada kullandığını belirtti. 14.
Firma, grubun hazır araçlardan sınırlı sayıda devlet kuruluşunu hedef alan daha özel kodlara geçtiğini belirtti.
Üst düzey tehditlerden Josh Miller, “Dört Büyük” ülkeden (Rusya, Çin, İran ve Kuzey Kore) gelen tehdit aktörlerinin en aktif ve yetenekli olanlar olarak görülmesine rağmen, Molerats’ın daha küçük grupların karmaşık araçlara ve operasyonel güvenliğe sahip olabileceğini gösterdiğini söylüyor. Proofpoint’li araştırmacı.
“Bütün bu karmaşıklığı Dört Büyükler dışındaki bir rakipten görmek bence biraz sıra dışı” diyor. “Dolayısıyla, nispeten karmaşık bir kötü amaçlı yazılım parçası ve genel bir öldürme zinciri görmek – özellikle de Arapça konuşanlar için bu kadar coğrafi sınırlamaya sahip bir tane – bu dikkate değer.”
Molerats IronWind ile Yenileniyor
Molerats grubu, Filistin topraklarıyla aynı bölgede veya içinde yer alan az sayıdaki gruptan biri. Proofpoint analizinde, Molerats’ın en son siber saldırı kampanyasında bölgesel hükümetleri hedef alan bir tuzak olarak Arapça ekonomik temalı kimlik avı saldırılarının kullanıldığı belirtildi. E-postadaki bağlantı kötü amaçlı bir Microsoft PowerPoint eklenti dosyasına yönlendiriyor ve bu dosya yürütüldüğünde saldırının üçüncü aşamasını, yani kabuk kodu yükleyicisini indiriyor ve bu da son aşama olan .NET arka kapısına yol açıyor.
Geçtiğimiz birkaç ay boyunca grup, ağustos ayında Excel dosyalarına ve ekim ayında RAR arşiv dosyalarına odaklanarak saldırı zincirini farklı yemler ve farklı kötü amaçlı ikinci aşama dosyalar kullanacak şekilde değiştirdi. Grup ayrıca saldırıların kapsamını sınırlamak için coğrafi sınırlamayı kullanıyor ve saldırı zincirinin bazı kısımlarını tespit edilmekten kaçınmak için meşru sunuculardaki zararsız belgelere yönlendiriyor.
Proofpoint’ten Miller, bölgedeki ölümcül çatışmalara rağmen grubun çoğunlukla casusluk işine her zamanki gibi devam ettiğini söylüyor.
Miller, “İsrail’in saldırıya başlamasıyla birlikte Molerat’ların ve Filistinli siber operatörlerin görevden alınacağını söyleyen bazı yorumcular oldu, ancak gördüğümüz şey bu değil” diyor. “Aynı türden müşterileri hedeflemeye devam ediyorlar ve çatışma öncesindeki hedeflemelerini ya da taktiklerini mutlaka değiştirmiyorlar.”
Gelişen Bir Grup
Crowdstrike, taktikleri Molerat’lara benzeyen Extreme Jackal grubunu takip ediyor ve CrowdStrike’ın düşmanla mücadele operasyonlarından sorumlu kıdemli başkan yardımcısı Adam Meyers, Hamas bağlantılı grubun siber suç araçlarını kullanmaktan kendi araçlarını oluşturmaya doğru evrimini vurguladı.
Meyers, “Tarihsel olarak Extreme Jackal, olası istihbarat toplama operasyonlarını gerçekleştirmek için ticari olarak temin edilebilen çeşitli araçları kullandı” diyor. “Ancak bugün itibarıyla düşman, özel kötü amaçlı yazılımların kullanımına doğru bir değişim gösterdi.”
Proofpoint, iki ismin aynı grubu tanımladığı konusunda hemfikir olmasa da şirket aynı sonuca varıyor.
Proofpoint analizi, “TA402, siber casusluk yetkisini desteklemek için saldırı yöntemlerini ve kötü amaçlı yazılımlarını rutin olarak yeniden düzenleyen, ısrarcı ve yenilikçi bir tehdit aktörü olmaya devam ediyor” diyerek şu uyarıyı ekledi: “TA402 ise özel bir ilgi alanına sahip istihbarat toplama odaklı bir tehdit aktörüdür Orta Doğu ve Kuzey Afrika hükümet birimlerinde grup, devam eden İsrail-Hamas çatışmasına tepki olarak kendisini hedefleme veya sosyal mühendislik tuzağını ayarlama yönünde bulabilir.”