Yeni Rapor İran Hacking Grubunun Medya Maskeli Balosunu Ortaya Çıkarıyor

Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik

Mandiant, APT42 Üyelerinin Çok Sayıda Veri Çalmak İçin Gazeteci Gibi Davrandıklarını Söyledi

Chris Riotta (@chrisriotta) •
3 Mayıs 2024

İran devletine ait bir bilgisayar korsanlığı grubunun üyelerinin, kimlik bilgilerini toplama ve küresel bulut ağlarına sızma çabasının bir parçası olarak The Washington Post, The Economist ve diğer büyük haber kuruluşlarından gazeteciler ve etkinlik organizatörleri kılığına girdiği gözlemlendi.

Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?

Mandiant Çarşamba günü, “bulut ortamları da dahil olmak üzere kurban ağlarına erişim sağlamak için gelişmiş sosyal mühendislik planlarını” kullanan İranlı bir tehdit aktörü olan APT42 hakkında bir rapor yayınladı.

Rapora göre, bilgisayar korsanlığı grubu yakın zamanda “İran’ı stratejik açıdan ilgilendiren” verileri, tespit edilmekten kaçınmak için açık kaynak araçları ve yerleşik ağ özelliklerini kullanarak sızdırdı. Mandiant, bilgisayar korsanlarının NiceCurl ve TameCat adlı iki özel arka kapı aracılığıyla kötü amaçlı yazılım tabanlı operasyonlara da girişmeye başladıklarını, bu kapıların grubun kurban ağlarına ek kötü amaçlı yazılım dağıtmasına olanak tanıdığını söyledi.

Raporda, bilgisayar korsanlarının, sahte Google oturum açma sayfalarına kötü amaçlı bağlantılar göndererek ve ardından politika ve hükümet sektörlerindeki hedeflerin yanı sıra gazeteciler ve medya kuruluşlarındaki hedeflerden kimlik bilgileri toplamayı içeren hedef odaklı kimlik avı kampanyalarında güvenilir haber kuruluşlarından gazeteciler gibi davrandıkları belirtildi. .

APT42 ayrıca İran hükümetine tehdit olarak algılanan araştırmacıları, STK liderlerini ve insan hakları aktivistlerini “bulut altyapısında barındırılan konferans davetleri veya meşru belgelerle” hedef aldı.

Mandiant, APT42’nin sektörler arasındaki etkisinin kapsamının şu anda bilinenden çok daha geniş olabileceğini, “çünkü bu operasyonların ilk etkinleştiricisinin APT42’nin dünya çapında gerçekleştirdiği kimlik bilgileri toplama işleminde yattığını” öne sürdü. Google’ın sahibi olduğu tehdit istihbarat firması, APT42’nin tekniklerinin, grubun Microsoft 365 ortamlarına gizlice erişmesine ve bu ortamları tehlikeye atmasına olanak sağladığını, zaman zaman Aspen Enstitüsü gibi tanınmış kuruluşlarda çalışan üst düzey personelin kimliğine büründüğünü söyledi.

Bilgisayar korsanları zaman zaman İran’ın dışişleri meselelerinin yanı sıra Orta Doğu meseleleri ve Rusya’nın Ukrayna’daki savaşıyla ilgili belirli dosya ve verileri aradılar. Grup, tespitten kaçınmak için Google Chrome tarayıcı geçmişlerini temizlemek ve kurbanın ortamıyla etkileşime geçmek için ExpressVPN düğümleri ve Cloudflare tarafından barındırılan alanlar gibi anonimleştirilmiş altyapıyı kullanmak gibi basit teknikler kullandı.

Mandiant, grubun en az bir örnekte Microsoft’un uygulama parolası özelliğini kullanarak “kalıcı” bir oturum açma mekanizması kurduğunu ve muhtemelen kimliklerini çok faktörlü kimlik doğrulamayla yeniden doğrulama zorunluluğunu ortadan kaldırdığını söyledi.

Mandiant, APT42’nin “İslam Cumhuriyeti’ne yönelik dış tehditleri ve iç karışıklıkları izlemek ve önlemekten sorumlu olan İran istihbarat aygıtının bir parçası” olduğunu söyledi.

Nisan ayında ABD federal hükümeti, dört İranlı devlet korsanına karşı çok sayıda suç duyurusunda bulundu, gruba karşı yaptırımlar duyurdu ve yakalanmaları için 10 milyon dolara kadar ödül teklif etti (bkz.: ABD, Fed’e Yönelik Kimlik Avı Kampanyası Konusunda İran’a Baskı Yapıyor).