İran devleti destekli bir siber casusluk grubu olan Earth Simnavaz, son zamanlarda BAE ve Körfez bölgesindeki kritik altyapıya yönelik saldırılarını yoğunlaştırdı.
Grup, yetkisiz erişim elde etmek ve hassas verilere sızmak için karmaşık teknikler kullanıyor; örneğin, ayrıcalık yükseltme için CVE-2024-30088 gibi güvenlik açıklarından yararlanarak şirket içi Microsoft Exchange sunucuları aracılığıyla kimlik bilgilerini çalmak için yeni bir arka kapı kullanmak ve uzaktan izleme için ngrok gibi araçlardan yararlanmak gibi. ve kontrol.
Güvenlik açığı bulunan bir web sunucusuna yüklenen bir web kabuğu aracılığıyla ağlara sızdı ve Windows Çekirdeği güvenlik açığından yararlanarak ayrıcalıkları yükseltti ve Exchange sunucusu aracılığıyla hassas verileri sızdıran bir arka kapı bırakan bir parola filtresi DLL’si kaydettirdi.
Çalınan veriler diğer devlet kurumlarına tedarik zinciri saldırıları düzenlemek için kullanıldı. Grubun fidye yazılımı saldırılarına olanak tanıyan FOX Kitten ile örtüşmesi, daha fazla kötü amaçlı faaliyet potansiyeline işaret ediyor.
Tehdit aktörü başlangıçta, uzaktan erişim Truva atı görevi gören ve çeşitli kötü amaçlı etkinlikleri kolaylaştıran savunmasız bir web sunucusuna bir web kabuğu yükleyerek hedef sistemin güvenliğini ihlal etti.
Saldırgan, HTTP istek başlıklarından belirli değerleri çıkararak ve şifresini çözerek PowerShell komutlarını yürütebilir, virüslü sistemden dosya indirebilir ve sisteme yeni dosyalar yükleyebilir.
Giden yanıtlar, yanıtların gizli tutulmasını sağlamak için AES şifrelemesi ve Base64 kodlaması kullanılarak web kabuğu tarafından da şifrelendi.
Saldırganlar başlangıçta SİSTEM ayrıcalıkları kazanmak için CVE-2024-30088’i kullandılar ve ardından özel bir yükleyici kullanarak ayrıcalık yükseltme aracını çalıştırdılar ve bu araç, bir PowerShell betiğini çalıştırmak için kalıcı bir görev oluşturdu.
Saldırganlar, bu şifreleri dışarı çıkarmadan önce dikkatli bir şekilde şifrelediğinden, tespitten kaçma ve ele geçirilen ortamda kalıcılığı sürdürme çabalarını gösterdikleri için, ele geçirilen makinelerden düz metin şifreleri yakalamak için bir şifre filtresi DLL’sini de kötüye kullandılar.
STEALHOOK sızma aracı, belirli bir konumdan geçerli etki alanı kimlik bilgilerini alır ve bunları, şifreleri çalan ve bunları e-posta ekleri olarak ileten, bu e-postaları devletin Exchange Sunucuları üzerinden yönlendirmek için meşru hesaplardan yararlanan veri sızdırma amacıyla Exchange Sunucusuna erişmek için kullanır.
Arka kapı, belirli dosyalardan kullanıcı kimlik bilgilerini ve e-posta gönderme verilerini alır, ardından çalınan kimlik bilgilerini ve yapılandırma verilerini içeren bir mesaj oluştururken, e-posta belirli bir konu ve gövdeyle gönderilir ve tüm dosyalar belirlenmiş bir dizine eklenir.
Trend Micro’ya göre, Earth Simnavaz tehdit grubu yakın zamanda araç setini, güvenlik duvarlarını ve ağ güvenlik kontrollerini atlatmak için kullandıkları RMM aracı ngrok’u içerecek şekilde yükseltti.
Ngrok, bir PowerShell betiği kullanılarak bir sunucuya indirildi ve ardından bir WMI komutu kullanılarak uzaktan yürütüldü. Bu komut muhtemelen saldırının sonraki aşamalarında komut ve kontrol iletişimi kurmak, verileri sızdırmak veya yükleri dağıtmak için kullanıldı.
Kuruluşun tarihi boyunca Orta Doğu’daki hükümetleri ve ülkeleri hedef aldığı biliniyor ve stratejileri FOX Kitten’ın stratejilerine benziyor.”
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)