FortiGuard Olay Müdahale (FGIR) ekibi tarafından yapılan yeni bir soruşturma, Orta Doğu’da İran devlet destekli bir tehdit grubuna atfedilen kritik ulusal altyapıyı (CNI) hedefleyen sofistike, uzun vadeli bir siber müdahaleyi ortaya çıkardı.
En azından Mayıs 2021’e kadar uzlaşma kanıtlarıyla en azından Mayıs 2023’ten Şubat 2025’e kadar, bu casusluk odaklı kampanya, gelecekteki stratejik avantaj için kalıcı erişim ve potansiyel ağ prömiyeri elde etmek için yeni kötü amaçlı yazılımlar ve gelişmiş taktikler, teknikler ve prosedürler (TTP’ler) kullandı.
Saldırı, kurbanın SSL VPN’sine sızmak için çalınan VPN kimlik bilgilerinin sömürülmesinden başlayarak birden fazla aşamada ortaya çıktı.
.png
)
Oradan, rakipler kamuya açık sunuculara web mermileri dağıttılar ve Hanifnet (A.NET tabanlı implant), HXLibrary (Derin Sistem Kontrolü için Kötü niyetli bir IIS modülü) ve neoExpressRat gibi özel backdoors kullandılar.
Ayrıca, planlanan görevler aracılığıyla Havoc ve SystemBC’yi bellekte yürütmek için RemoteInjector gibi yükleyicileri de kaldırdılar ve kötü niyetli etkinlikleri meşru pencerelerle harmanladılar.
Sınırlı operasyonel teknoloji (OT) ortamları da dahil olmak üzere kurbanın yüksek segmentli ağını atlamak için, saldırganlar plink, ngrok, planör proxy ve tersine dönen açık kaynak proxy araçlarını, ondan hassas segmentlere yanal hareket sağlayarak zincirledi.
Doğrudan OT kesintisi doğrulanmamış olsa da, kapsamlı keşif ve kimlik bilgisi hasadı bu kritik sistemleri hedeflemek için açık bir niyete işaret etti.
Gelişen taktikler ve koşuldan sonra kalıcı tehditler
Girişim sırasında, rakipler araç setlerini ve altyapılarını uyarladılar, ABD tabanlı VPS sağlayıcılarından kaçındılar ve dalgalara yeni kalıcılık mekanizmaları getirdiler.
Nisan ve Kasım 2024 yılları arasında, hedeflenen e -posta verilerini açığa çıkardılar ve ağ yapılandırmalarını haritalamak için sanallaştırma altyapısını araştırdılar.
2024’ün sonlarında kurbanın ilk sınırlama çabalarının ardından, tehdit aktörleri daha derin CNI segmentlerine erişimi korumak için ek web mermileri, SystemBC ve Meshcentral’ı kullandılar.
Aralık 2024’te başarılı bir şekilde ele geçirilmesinden sonra bile, grup ZKTECO ZKBiotime yazılımında daha önce bildirilmeyen güvenlik açıklarından yararlanarak ve yönetici kimlik bilgilerini çalmak için tehlikeye atılmış üçüncü taraf e-postaları kullanarak kimlik avı kampanyalarını başlatarak yeniden giriş yapmaya çalıştı.
Bu kampanya, Orta Doğu CNI’lere karşı devlet destekli siber tehditlerin acımasız doğasının altını çiziyor.
Rapora göre, FGIR, kuruluşları VPN ve ayrıcalıklı hesaplar için çok faktörlü kimlik doğrulamayı (MFA) uygulamaya, sıfır-tröst mimarisiyle ağ segmentasyonunu güçlendirmeye ve gerçek zamanlı anomal tespiti için (edr) çözümlerin (edr) çözümleri uygulamaya çağırarak, güçlü savunma önlemlerine duyulan ihtiyacı vurgulamaktadır.
Web’e bakan hizmetler, uygulama izin listesi ve devlet destekli tehditler için tasarlanmış kapsamlı olay müdahale oyun kitapları üzerinde düzenli bütünlük kontrolleri de kritiktir.
Tutulmaya rağmen, rakiplerin erişimi yeniden kazanma girişimleri, uzun vadeli stratejik ilgilerini vurgular, bu tür sofistike kampanyalara karşı koymak için sürekli uyanıklık ve uyarlanabilir güvenlik stratejileri gerektirir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!