İsrail, BAE, Türkiye, Hindistan ve Arnavutluk dahil olmak üzere birçok ülkede Havacılık, Havacılık ve savunma endüstrilerini hedef alan İran-Nexus casusluk faaliyetiyle ilgili yeni bir tehdit faaliyeti keşfedildi.
Bu tehdit faaliyetinin Kaplumbağa kabuğu tehdit grubuyla benzerlik gösteren UNC1549 tehdit aktörüyle de bağlantılı olduğundan şüpheleniliyor.
Tehdit aktörü, faaliyetlerini gizlemek için çeşitli kaçınma teknikleri kullandı ve sosyal mühendislik için MINIBIKE ve MINIBUS adlı iki benzersiz arka kapıdan Microsoft Azure Bulut Altyapısını kullanıyor.
Bu saldırı kampanyasında TTP’lerinin bir parçası olarak 125’in üzerinde komut ve kontrol Azure alt alanı keşfedildi.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Bilgisayar korsanları Microsoft Azure’u kötüye kullanıyor
Mandiant raporlarına göre tehdit aktörlerinin kampanyaları, MİNİBÜS yükünü içeren sahte bir işe alım web sitesiyle ilgiliydi.
Ayrıca bu kampanyanın kaçınma yöntemi, C2 için bulut altyapısının kullanılmasını içeriyordu; bu, ağ savunucularının bu etkinliği önlemesi, tespit etmesi ve hafifletmesi açısından zorlayıcı olabilir.
Kaplumbağa kabuğu tehdit aktörü daha önce bu iş cezbetme kampanyasını kullanmıştı.
Saldırı Yaşam Döngüsü itibariyle, saldırı zincirinin çeşitli aşamaları kullanıldı; bunlar arasında teknoloji ve savunma ile ilgili pozisyonlarda sahte iş teklifleri içeren Hedefli kimlik avı, yük teslimi ve güvenlik ihlali için cihaza yüklerin yüklenmesi yer alıyor.
Sahte iş teklifleri web sitesi, sosyal medya ve kimlik bilgilerini toplamaya yönelik kötü amaçlı yükler içeren e-postalar aracılığıyla yayıldı.
Bu yükler, en az 2022’den beri kullanılan MINIBIKE veya MINIBUS’du.
Bu payloadlar mağdurun cihazına yüklendikten sonra cihazdan bilgi toplayan ve erişim sağlayan Microsoft Azure Bulut altyapısı üzerinden C2 iletişimi kuruluyor.
Üstelik bu etapta da LIGHTRAIL tünel açıcının kullanıldığı tespit edildi. Kullanılan Azure C2 etki alanlarından bazıları şunlardır:
- ilengineeringrssfeed[.]azureweb siteleri[.]net (“IL Mühendislik RSS Akışı”)
- Arap bölgesini işe alma[.]azureweb siteleri[.]net (“Arap Bölgesini İşe Alma”)
- türkairline[.]azureweb siteleri[.]net (“Türk Hava Yolları”)
MINIBIKE Kötü Amaçlı Yazılım
Bu, dosyaları dışarı çıkarma, komut yürütme, yükleme ve Azure bulut altyapısıyla iletişim kurma yeteneğine sahip özel bir C++ tabanlı arka kapıdır.
Bu kötü amaçlı yazılım yüklendikten sonra, ele geçirilen cihaza tam arka kapı işlevselliği sağlar. Kötü amaçlı yazılım üç yardımcı programdan oluşur
- Arka kapı (.dll veya .dat dosyası)
- Bir başlatıcı (arama emri ele geçirme (SoH) yoluyla yürütülür)
- MINIBIKE’ı maskeleyen meşru/sahte yürütülebilir dosya
MİNİBÜS Kötü Amaçlı Yazılım
MINIBIKE’ta sunulan işlevlere ek olarak, bu kötü amaçlı yazılım, MINIBIKE kötü amaçlı yazılımına daha esnek bir kod yürütme arayüzü ve gelişmiş bilgi toplama özellikleri sağlar.
Bu kötü amaçlı yazılım, MINIBIKE’a kıyasla çok az yerleşik özellik içeriyor. Bu kötü amaçlı yazılımın işlevleri şunları içerir:
- Kod yürütme için komut arayüzü
- süreç numaralandırma özelliği
- DLL Adlarını dışa aktarma
- C2 iletişimi
- Lures temaları
- Hedefleme ve Coğrafya
LIGHTRAIL Tünelleri
Bu tünel oluşturucunun MINIBIKE ve MINIBUS kötü amaçlı yazılımlarıyla kod tabanı, Azure C2 altyapısı ve aynı hedefler ve mağduroloji gibi birden fazla bağlantısı var. Bu tünel oluşturucu, bir Sock4a proxy’si olan açık kaynaklı Lastenzug yardımcı programını kullanır.
Uzlaşma Göstergeleri (IOC’ler)
MİNİBİSİKLET
- 01cbaddd7a269521bf7b80f4a9a1982f
- 054c67236a86d9ab5ec80e16b884f733
- 1d8a1756b882a19d98632bc6c1f1f8cd
- 2c4cdc0e78ef57b44f11f7ec2f6164cd
- 3b658afa91ce3327dbfa1cf665529a6d
- 409c2ac789015e76f9886f1203a73bc0
- 601eb396c339a69e7d8c2a3de3b0296d
- 664cfda4ada6f8b7bb25a5f50cccf984
- 68f6810f248d032bbb65b391cdb1d5e0
- 691d0143c0642ff783909f983ccb8ffd
- 710d1a8b2fc17c381a7f20da5d2d70fc
- 75d2c686d410ec1f880a6fd7a9800055
- 909a235ac0349041b38d84e9aab3f3a1
- a5e64f196175c5f068e1352aa04bc5fa
- adef679c6aa6860aa89b775dceb6958b
- bfd024e64867e6ca44738dd03d4f87b5
- c12ff86d32bd10c6c764b71728a51bce
- cf32d73c501d5924b3c98383f53fda51
- d94ffe668751935b19eaeb93fed1cdbe
- e3dc8810da71812b860fc59aeadcc350
- e9ed595b24a7eeb34ac52f57eeec6e2b
- eadbaabe3b8133426bcf09f7102088d4
MİNİBÜS
- ef262f571cd429d88f629789616365e4
- 816af741c3d6be1397d306841d12e206
- c5dc2c75459dc99a42400f6d8b455250
- 05fcace605b525f1bece1813bb18a56c
- 4ed5d74a746461d3faa9f96995a1eec8
- f58e0dfb8f915fa5ce1b7ca50c46b51b
HAFİF RAYLI
- 0a739dbdbcf9a5d8389511732371ecb4
- 36e2d9ce19ed045a9840313439d6f18d
- aaef98be8e58be6b96566268c163b6aa
- c3830b1381d95aa6f97a58fd8ff3524e
- c51bc86beb9e16d1c905160e96d9fa29
- a5fdf55c1c50be471946de937f1e46dd
Sahte İş Teklifleri
- ec6a0434b94f51aa1df76a066aa05413
- 89107ce5e27d52b9fa6ae6387138dd3e
- 4a223bc9c6096ac6bae3e7452ed6a1cd
C2 ve Barındırma Altyapısı
- 1çalışan[.]iletişim
- onları evde doğur[.]ortak[.]hasta
- nakit bulut hizmetleri[.]iletişim
- jupyternotebookkoleksiyonları[.]iletişim
- Defter metni kontrolleri[.]iletişim
- teledyneflir[.]iletişim[.]ile ilgili
- vsliveagent[.]iletişim
- xboxplayservice[.]iletişim
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.