GreenBug olarak da bilinen İranlı tehdit aktörü APT34, yakın zamanda yeni bir IIS arka kapısı ve DNS tünelleme protokolü de dahil olmak üzere özel bir araç seti kullanarak Irak hükümet birimlerini hedef alan yeni bir kampanya başlattı.
Bu kampanyada kullanılan kötü amaçlı yazılım, daha önce bildirilen Karkoff, Saitama ve IIS Group 2 gibi APT34 kötü amaçlı yazılım aileleriyle benzerlikler taşıyor.
Tehdit aktörünün hedeflenen kuruluşlardaki ele geçirilmiş e-posta hesaplarını kullanması, kurban ağlarına etkili bir şekilde sızma yeteneklerini ortaya koyuyor ve bu da bu kampanya ile APT34’ün bölgedeki devam eden faaliyetleri arasında güçlü bir bağlantı olduğunu gösteriyor.
Spearal kötü amaçlı yazılım kampanyası, Avamer.pdf.exe ve ncms_demo.msi gibi belge ekleri gibi gizlenmiş kötü amaçlı dosyaları dağıtmak ve kötü amaçlı yazılımı ve yapılandırmasını dağıtmak için PowerShell veya Pyinstaller betiklerini çalıştırmak için sosyal mühendislik taktikleriyle başlayan çok aşamalı bir enfeksiyon süreci kullanır.
Komut dosyaları, dosya zaman damgalarını değiştiriyor ve kalıcılık için kayıt defteri girdileri ekliyor; kötü amaçlı yazılımın, base64 kodlu anahtarlar ve değerler içeren bir XML dosyası olarak yapılandırılmış yapılandırma dosyası ise kötü amaçlı yazılımın çalışması için gerekli parametreleri içeriyor.
.webp)
Spearal ve Veaty, .NET’te yazılmış kötü amaçlı arka kapılardır. Spearal, iletişim için DNS tünellemesini kullanarak verileri bir C2 sunucusuna alt etki alanı sorguları içinde gizlerken, Veaty, Exchange sunucusuyla iletişim sırasında sertifika doğrulamasını devre dışı bırakarak güvenliği atlatarak C2 için tehlikeye atılmış e-posta hesaplarından yararlanır.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Her iki arka kapı da komutları yürütebilir, dosyaları yükleyip indirebilir ve saldırgan kontrolünü kolaylaştırabilir. Spearal, veri iletimi için özel bir Base32 kodlama şeması kullanırken, Veaty doğrudan e-posta içeriğine güvenir.
.webp)
Veaty adlı kötü amaçlı yazılım, konu satırında belirli bir dize bulunan e-postaları (örneğin, “PMO”) belirlenmiş bir klasöre (örneğin, “deletedItems”) taşımak için bir kural oluşturan ve belirli bir aralıkta yapılandırılmış bir alıcıya “canlı” mesajlar gönderen ve C2 posta kutusunda komut e-postalarını arayan C2 iletişimi için e-postayı kullanır.
Dosya indirmek, dosya yüklemek veya komut çalıştırmak için kullanılabilir ve yapılandırma dosyasındaki bir anahtarla şifrelenir.
Kötü amaçlı yazılım, yapılandırma değerine bağlı olarak sonuçları komut e-postalarıyla aynı formatta (ek veya gövde) C2 sunucusuna geri gönderir.
.webp)
Tehdit grubu APT34, Veaty, Spearal ve CacheHttp.dll adlı bir IIS arka kapı varyantı da dahil olmak üzere çeşitli kötü amaçlı yazılım aileleriyle Irak hükümet kurumlarını hedef alıyor.
Veaty ve Spearal zararlı yazılımları, komut göndermek ve e-posta tünellemesi veya DNS tünellemesi yoluyla iletişim kurmak için ele geçirilmiş e-posta hesaplarını kullanır.
CacheHttp.dll, ek işlevlere sahip ve şifrelenmiş çerezler aracılığıyla iletişim kuran IIS Group2 arka kapısının daha yeni bir sürümüdür.
.webp)
CheckPoint’e göre CacheHttp.dll, IIS Group2 ve RGDoor (başka bir APT34 arka kapısı) arasındaki iletişim yöntemleri ve kod benzerlikleri, bunların aynı aracın varyantları olabileceğini düşündürüyor.
Irak hükümet altyapısını hedef alan bir siber casusluk kampanyasında, saldırganların özel bir DNS tünelleme protokolü kullanarak ve C2 iletişimi için e-posta hesaplarını ele geçirerek İran APT34 grubuna bağlı özel araçlar ve C2 altyapısı kullanıldı.
Bu, APT34’ün Veaty ve Spearal kötü amaçlı yazılımları gibi hem basit araçları hem de karmaşık C2 mekanizmalarını pasif bir IIS arka kapısıyla birlikte kullanma stratejisine uyuyor. Bu kampanya ayrıca APT34’ün bilinen yöntemleriyle de bağlantılı.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin