UNC1549 olarak bilinen bir İran-Nexus siber casusluk grubu, Avrupa telekomünikasyon şirketlerini hedefleyen yeni bir kampanyaya atfedildi ve LinkedIn’deki işe alım temalı bir faaliyetin bir parçası olarak 11 kuruluşta 34 cihaza başarılı bir şekilde sızdı.
İsviçre Siber Güvenlik Şirketi Prodaft, kümeyi adı altında izliyor İnce salyangoz. İran’ın İslam Devrim Muhafız Kolordusu’na (IRGC) bağlı olduğu değerlendiriliyor. Hedeflenen 11 şirket Kanada, Fransa, Birleşik Arap Emirlikleri, Birleşik Krallık ve Amerika Birleşik Devletleri’nde bulunmaktadır.
Şirket, “Grup, çalışanları meşgul etmek için meşru kuruluşlardan İK temsilcileri olarak görev yaparak faaliyet gösteriyor, daha sonra hacker haberleriyle paylaşılan bir raporda, Azure Cloud hizmetleri aracılığıyla ilave edilen komuta ve kontrol (C2) altyapısı ile iletişim kurarak onlardan ödün veriyor.”
En azından Haziran 2022’den beri aktif olduğuna inanılan UNC1549 (TA455), hisse senetleri duman kum fırtınası ve kıpkırmızı kum fırtınası (diğer adıyla Imperial Kitten, TA456, Tortoishell ve sarı sürücü) olarak bilinen diğer iki İran hack grubuyla örtüşüyor. Tehdit oyuncusu ilk olarak Google’a ait maniant tarafından Şubat 2024’te belgelendi.
UNC1549 tarafından iş temalı yemlerin kullanılması, daha sonra, rakiplerin Havacılık ve Uzay endüstrisini hedeflemesini Eylül 2023’e kadar Haciz ve Slugresin gibi kötü amaçlı aileler sunmak için detaylandıran İsrail siber güvenlik şirketi Clearsky tarafından ayrıntılı olarak açıklandı.
ProTaft, “Grubun birincil motivasyonu, uzay ve savunma organizasyonlarına olan ilgiyi uzun vadeli kalıcılık oluşturmak ve stratejik casusluk amaçları için duyarlı verileri pes etmek için havacılık ve savunma kuruluşlarına olan ilgiyi sürdürürken telekomünikasyon varlıklarına sızmayı içerir.” Dedi.
Saldırılar zincirleri, özellikle araştırmacılara, geliştiricilere ve kritik sistemlere ve geliştirici ortamlarına yüksek erişimi olan BT yöneticilerine odaklanan hedef kuruluşlardaki kilit personeli tanımlamak için LinkedIn gibi platformlarda kapsamlı keşif içerir.
Bir sonraki aşamada, tehdit aktörleri, e-posta adreslerini doğrulamak ve operasyonun önemli kısmını (sahte işe alım sürücüsü) yürürlüğe koymadan önce ek bilgi toplamak için mızrak aktı e-postaları gönderdikleri gözlemlenmiştir.
Bunu başarmak için, saldırganlar LinkedIn’de ikna edici İK hesap profilleri kurdu ve var olmayan iş fırsatlarına sahip olası hedeflere ulaştı, programın başarı olasılığını artırmak için yavaş yavaş güven ve güvenilirlik oluşturdular. Kampanya, ince salyangoz operatörlerinin her kurbanın saldırısını uyarlama çabaları ile karakterize ediliyor.
Mağdurun teklife olan ilgisini ifade ederse, daha sonra Telespazio veya Safran Grubu gibi şirketleri taklit eden hileli bir alana tıklayarak bir röportaj için bir zaman planlamak için e -posta yoluyla iletişime geçilir. Gerekli bilgileri girmek otomatik olarak bir zip arşivinin indirilmesini tetikler.
ZIP dosyasında mevcut, başlatıldıktan sonra, minibike adlı kötü niyetli bir DLL başlatmak için DLL yan yüklemesini kullanan bir yürütülebilir, daha sonra sistem bilgilerini toplayan ve keşif, log keanstrokes ve pli panosu içeriğinden, bromu toplamak için microsoft görsel c/c ++ dlls şeklinde ek yükler bekleyen ve web tarayıcısını toplayan ve web tarayıcısını toplayın ve Web Cromer’ı toplayın ve Web Cromer’ı toplayın. Ekran görüntüleri.
Özellikle Web tarayıcısı stealer, tarayıcıda saklanan şifreleri şifresini çözmek ve çalmak için uygulamaya bağlı şifreleme korumalarını atlamak için Chrome-uygulamaya bağlı şifreleme kurutma adı verilen halka açık bir araç içerir.
ProDaft, “İnce salyangoz ekibi, cihazlardan ağ yapılandırma bilgilerini toplamak için bile her seferinde mağdura özgü ve benzersiz bir DLL oluşturuyor ve kullanıyor.” “Tehdit oyuncusu tarafından kullanılan kötü niyetli DLL dosyaları ihracat bölümünde benzer özellikler sergiliyor.”
“Meşru DLL dosyaları, işlev adlarının doğrudan dize değişkenleri ile değiştirildiği bir DLL yan yükleme saldırısının sorunsuz bir şekilde yürütülmesini kolaylaştırmak için değiştirilir. Bu taktik, saldırganın DLL’nin dışa aktarma tablosunu manipüle ederek tipik bir algılama mekanizmalarını atlamasına izin verir ve kötü niyetli faaliyetler yaparken meşru bir dosya olarak görünmesini sağlar.”
Minibike, C2 iletişimini kolaylaştırmak için 12 farklı komutu destekleyen tam özellikli, modüler bir arka kapıdır, dosyaları ve dizinleri numaralandırmasına, çalıştırma işlemlerini listelemesine, parçalara dosyaları yüklemesine, dosyaları yüklemesine, ayrıca exe, dll, yarasa veya CMD yüklerini çalıştırmasına izin verir.
Kötü amaçlı yazılım, Windows kayıt defteri değişikliklerini sistem başlatmasından sonra otomatik olarak yüklenecek şekilde Windows kayıt defteri değişikliklerini yaparak, C2 trafiğini normal bulut iletişimiyle harmanlamanın yanı sıra C2 trafiğini normal bulut hizmetleri ve sanal özel sunucular (VPSES) kullanarak harmanlamanın yanı sıra.
Ayrıca, analizi engellemek için anti-tahrip anti-sandbox tekniklerine sahiptir ve tersine mühendisliğe direnmek ve genel işlevselliğini anlamayı zorlaştırmak için Windows API işlevlerini çalışma zamanında çözmek için kontrol akışı düzleştirme ve özel karma algoritmaları gibi yöntemleri kullanır.
ProTaft, “İnce salyangozun operasyonları, istihbarat toplantısını kritik telekomünikasyon ağlarına uzun vadeli erişimle birleştirerek ciddi hasara neden oluyor.” Dedi. “Sadece cihazları enfekte etmiyorlar, aktif olarak hassas verileri ve erişimlerini canlı tutmanın yollarını ararlar.”
“Aramalarını yönlendirmek ve e -postaları, VPN yapılandırmalarını ve kontrolü sürdürmelerine yardımcı olan diğer bilgileri çalmaya odaklanmak için önceden tanımlanmış yollar kullanıyorlar. Ayrıca, iş sırlarını ve kişisel verileri ortaya çıkarabilen paylaşılan klasörlerde depolanan gizli dosyaları avlıyorlar.”
Muddywater’ın çeşitlendirilmiş araç seti maruz kaldı
Açıklama, Grup-Ib, Muddywater olarak bilinen ve “önemli ölçüde” uzak izleme ve yönetim (RMM) araçlarına olan güvenini azaltmış olan Muddywater olarak bilinen başka bir İran devlet destekli hack grubunun altyapısına ve kötü amaçlı yazılım araç setine ışık tutarak geliyor-
- Bugsleep (İlk olarak Mayıs 2024’te görüldü), komutları yürütmek ve dosya transferlerini kolaylaştırmak için tasarlanmış Python tabanlı bir arka kapı
- Lite enjekte (İlk olarak Şubat 2025’te görüldü), taşınabilir bir yürütülebilir enjektör
- Stealthcache (İlk olarak Mart 2025’te görüldü), dosyaları okuma/yazma, kendini sonlandırma veya yeniden başlatma, güvenlik işlemleri için tarama ve kimlik bilgisi ve dosyaları çalma özelliklerine sahip özellik açısından zengin bir arka kapı olan
- Gıda makinesi (İlk olarak Mart 2025’te görüldü), yükleyebilen bir yükleyici, bellekte şifrelenmiş bir yükü kaldırabilen ve çalıştırabilen bir yükleyici
- Foenix (İlk olarak Nisan 2025’te görüldü), Bugsleep’in soyulmuş bir varyantını dağıtmak için kullanılan bir kötü amaçlı yazılım
- TopçuMeyveden çıkarılan sistemlerin uzaktan kumandası için tasarlanmış kötü niyetli bir araç
- UdpgangsterUDP protokolü üzerinden C2 sunucusuyla iletişim kuran temel bir arka kapı
2017’den beri aktif olan Muddywater, İran İstihbarat ve Güvenlik Bakanlığı (MOI) içinde ikincil bir unsur olarak değerlendiriliyor. Ayrıca boggy serpens, mango kum fırtınası ve TA450 olarak izlenen tehdit oyuncusu, Avrupa ve Amerika Birleşik Devletleri’ni hedefleyen saldırılarda yeni bir artışla telekom, hükümet, enerji, savunma ve kritik altyapı varlıklarını hedefleme geçmişine sahiptir.
Grup-Boysour Alhmoud, “Son aktivite, teslimat için hala kimlik avına güvendiklerini, Maldoc’ları enfeksiyon için kötü niyetli makrolarla kullandıklarını göstermektedir. Altyapı analizi, kötü niyetli varlıklara ev sahipliği yapmak için Amazon Web Hizmetlerinin (AWS) aktif kullanımını ortaya çıkardı.”
“Muddywater’ın kalıcı kampanyaları, hem bölgesel yarışmacılara hem de batı hedeflerine karşı devlete yönelik siber operasyonlar için makul bir inkar edilebilirliği korurken İran istihbarat gereksinimlerini desteklemedeki rolünün altını çiziyor.”