İran siber casusluk grubu Muddywater tarafından İsrail-İran çatışmasında gerginlikten sadece bir hafta sonra konuşlandırılan yeni bir Dchspy Android gözetim yazılımı varyantı.
Bu kötü niyetli araç, mobil gözetim yeteneklerinde önemli bir evrimi temsil eder, hassas iletişim verilerini hedefler ve kurbanları aldatmak için mevcut jeopolitik olaylardan yararlanır.
Key Takeaways
1. DCHSpy surveillanceware by Iran-linked MuddyWater APT deployed during Israel-Iran conflict.
2. Steals WhatsApp, calls, SMS, contacts, location data, and records audio/photos.
3. Spread via fake StarLink VPN apps on Telegram targeting dissidents.
Dchspy: Muddywater’ın gelişen mobil tehdidi
Lookout, DCHSPY kötü amaçlı yazılım ailesinin İran’ın İstihbarat ve Güvenlik Bakanlığı’na (MOI) bağlı olduğuna inanılan gelişmiş bir Kalıcı Tehdit (APT) grubu olan Muddywater’a atfedildiğini bildirdi.
Bu siber casusluk örgütü tarihsel olarak Orta Doğu, Asya, Afrika, Avrupa ve Kuzey Amerika’yı kapsayan telekomünikasyon, yerel yönetim, savunma ve petrol sektörlerinde çeşitli hükümet ve özel kuruluşları hedeflemiştir.
Bu yeni DCHSPY örneklerinin zamanlaması, İsrail’in İran nükleer altyapısına ilk grevinden yaklaşık bir hafta sonra ortaya çıkan özellikle önemlidir.
Kötü amaçlı yazılım, sürekli gelişme ve sofistike olduğunu göstermektedir, bu da devlet destekli aktörlerin mobil gözetim yeteneklerine sürekli yatırımı göstermiştir.
Teknik analiz, DCHSPY’nin altyapıyı daha önce Bahai uygulayıcılarını hedefleyen Sandstrike olarak bilinen başka bir Android kötü amaçlı yazılımla paylaştığını ortaya koyuyor.
Araştırmacılar, kampanyalar arasında net operasyonel bağlantılar kurarak, birden fazla kötü amaçlı yazılım ailesi boyunca sert kodlanmış komut ve kontrol (C2) IP adreslerinin yeniden kullanıldığını keşfettiler.
Gelişmiş Veri Sunum Özellikleri
DCHSPY, kapsamlı veri toplama özelliklerine sahip modüler bir gözetim yazılımı platformu olarak çalışır.
Kötü amaçlı yazılım, enfekte cihazlara, kişilere, SMS mesajlarına, yerel olarak depolanan dosyalara, hassas konum verilerine ve tam çağrı günlüklerine sistematik olarak toplanır.
En çok, cihaz mikrofonlarının kontrolünü ele geçirerek ve kamera manipülasyonu yoluyla fotoğraf çekerek ses kaydedebilir.
En son varyantlar, önceki sürümlerden önemli bir evrimi temsil eden gelişmiş WhatsApp veri çıkarma özelliklerini gösterir.
Toplandıktan sonra, hassas veriler doğrudan C2 sunucularından alınan parolalar kullanılarak sıkıştırma ve şifrelemeye maruz kalır.
Şifrelenmiş yük daha sonra hedef güvenli dosya aktarım protokolü (SFTP) sunucularına iletilir ve algılamadan kaçınırken güvenli bir şekilde eksfiltrasyon sağlar.
SHA1 hash 9dec46d71289710cd09582d84017718e0547f438 ile analiz edilen bir numune, APK dosya adı Starlink_VPN (1) .APK ile dağıtıldı ve meşru görünmek için tasarlanmış sofistike adlandırma kurallarını gösterdi.
Muddywater, zamanında siyasi olaylar ve temel hizmetler etrafında toplanan sosyal mühendislik taktiklerini istihdam etmektedir.
Grup, DCHSPY’yi EarthVPN ve COMODOVPN dahil olmak üzere meşru VPN hizmetleri olarak gizleyerek telgraf kanalları aracılığıyla kötü amaçlı uygulamaları dağıtır.
Bu dağıtım sayfalarında, İran rejiminin aksine manzaraları olan İngilizce ve farsi konuşmacılara hitap eden temalar ve dil bulunmaktadır.
Starlink temalı yemlerin dahil edilmesi, İsrail-İran düşmanlıklarını takip eden hükümet tarafından dayatılan internet kesintileri sırasında İran vatandaşlarına internet hizmetleri sunan Starlink’in raporlarıyla çakışan stratejik olarak zamanlanmış görünmektedir.
Bu, tehdit aktörlerinin insani krizlerden ve bağlantı araçlarını hedeflenen nüfuslara, özellikle kısıtlayıcı ortamlarda faaliyet gösteren aktivistlere ve gazetecilere nasıl sunmak için ihtiyaç duyduklarını göstermektedir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi