olarak bilinen gelişmiş bir kalıcı tehdit (APT) EV SAHİPLERİ 2020’den beri Orta Doğu’daki hükümeti ve diplomatik kurumları, AshTag adlı daha önce belgelenmemiş bir kötü amaçlı yazılım paketiyle hedef alan saldırılarla ilişkilendiriliyor.
Palo Alto Networks, etkinlik kümesini bu isim altında takip ediyor Kül rengi Lepus. VirusTotal platformuna yüklenen veriler, tehdit aktörünün gözünü Umman ve Fas’a çevirdiğini gösteriyor; bu da operasyonel kapsamın Filistin Yönetimi, Ürdün, Irak, Suudi Arabistan ve Mısır’ın ötesinde genişlediğine işaret ediyor.
Siber güvenlik şirketi, The Hacker News ile paylaştığı bir raporda, “Ashen Lepus, İsrail-Hamas çatışması boyunca ısrarla aktif kaldı ve bu, onu aynı dönemde faaliyetleri azalan diğer bağlı gruplardan ayırdı.” dedi. “Ashen Lepus, kampanyasına Ekim 2025’teki Gazze ateşkesinden sonra bile devam ederek, yeni geliştirilen kötü amaçlı yazılım çeşitlerini dağıttı ve kurban ortamlarında uygulamalı faaliyetlerde bulundu.”
Gazze Siber Çetesi (diğer adıyla Blackstem, Extreme Jackal, Molerats veya TA402) olarak bilinen, Arapça konuşan, siyasi motivasyonlu bir grupla örtüşen WIRTE’nin en az 2018’den beri aktif olduğu değerlendiriliyor. Cybereason’dan gelen bir rapora göre, hem Moleratlar hem de APT-C-23 (diğer adıyla Kurak Engerek, Çöl Verniği veya Renegade Çakal), Hamas’ın siber savaş bölümünün iki ana alt grubudur.
Stratejik hedeflerine ulaşmak için öncelikle Orta Doğu’daki devlet kurumlarını hedef alan casusluk ve istihbarat toplama yoluyla yürütülüyor.
Check Point, Kasım 2024’te yayınlanan bir raporda, bilgisayar korsanlığı ekibini, yalnızca İsrailli kuruluşlara SameCoin adı verilen özel bir silici kötü amaçlı yazılım bulaştırmayı amaçlayan yıkıcı saldırılarla ilişkilendirdi ve onların hem casusluk hem de sabotaj yapma ve bunlara uyum sağlama yeteneklerini vurguladı.
Birim 42 tarafından detaylandırılan ve 2018’e kadar uzanan uzun süredir devam eden, yakalanması zor kampanyanın, bölgedeki jeopolitik meselelerle ilgili tuzaklar içeren kimlik avı e-postalarından yararlandığı ortaya çıktı. Son zamanlarda Türkiye’ye yönelik cazibelerde görülen artış – örneğin “Fas ile Türkiye arasındaki ortaklık anlaşması” veya “Filistin Devleti’ne ilişkin karar tasarıları” – ülkedeki kuruluşların yeni bir odak alanı olabileceğine işaret ediyor.
Saldırı zincirleri, alıcıları bir dosya paylaşım hizmetinden RAR arşivi indirmeleri için kandıran zararsız bir PDF tuzağıyla başlıyor. Arşivin açılması, AshTag’in konuşlandırılmasıyla sonuçlanan bir olaylar zincirini tetikler.
Bu, AshenLoader adlı kötü amaçlı bir DLL dosyasını dışarıdan yüklemek için yeniden adlandırılmış iyi huylu bir ikili dosyanın kullanılmasını içerir; bu DLL, hileyi sürdürmek için sahte bir PDF dosyası açmanın yanı sıra, iki bileşeni daha bırakmak için harici bir sunucuyla bağlantı kurar; meşru bir yürütülebilir dosya ve adli yapay oluşumları en aza indirmek için kötü amaçlı yazılım paketini bellekte başlatmak üzere yeniden dışarıdan yüklenen AshenStager (diğer adıyla stagerx64) adlı bir DLL yükü.
AshTag, radarın altından uçmak için meşru bir VisualServer yardımcı programı kılığına girerken kalıcılığı ve uzaktan komut yürütmeyi kolaylaştırmak için tasarlanmış modüler bir .NET arka kapısıdır. Dahili olarak özellikleri, iletişimi sağlamak ve bellekte ek yükleri çalıştırmak için AshenOrchestrator aracılığıyla gerçekleştirilir.
Bu yükler farklı amaçlara hizmet eder –
- Kalıcılık ve süreç yönetimi
- Güncelleme ve kaldırma
- Ekran yakalama
- Dosya gezgini ve yönetimi
- Sistem parmak izi
Bir vakada Birim 42, tehdit aktörünün, C:\Users\Public klasöründe ilgi çekici belgeleri hazırlayarak uygulamalı veri hırsızlığı gerçekleştirmek amacıyla güvenliği ihlal edilmiş bir makineye erişim sağladığını gözlemlediğini söyledi. Bu dosyaların bir kurbanın e-posta kutusundan indirildiği ve nihai amaçlarının diplomasi ile ilgili belgelerin çalınması olduğu söyleniyor. Belgeler daha sonra Rclone yardımcı programı kullanılarak saldırganın kontrol ettiği bir sunucuya sızdırıldı.
Şirket, “Ashen Lepus, faaliyetleri önemli ölçüde azalan diğer bağlı tehdit gruplarının aksine, son bölgesel çatışma boyunca faaliyetlerini sürdürme niyetini açıkça ortaya koyan ısrarcı bir casusluk aktörü olmaya devam ediyor” dedi. “Tehdit aktörlerinin özellikle son iki yıldaki faaliyetleri, sürekli istihbarat toplama konusundaki kararlılıklarını vurgulamaktadır.”