DOLAR 34,5467 0.18%
EURO 36,0147 -0.62%
ALTIN 3.005,411,48
BITCOIN 34111720.81183%
İstanbul

ŞİDDETLİ YAĞMUR

17:47

AKŞAMA KALAN SÜRE

Siber Casuslar Kimlik Avında

Siber Casuslar Kimlik Avında

ABONE OL
26 Eylül 2023 17:24
Siber Casuslar Kimlik Avında
0

BEĞENDİM

ABONE OL

Siber güvenlik şirketi ESET, İran ilişkili OilRig kümesinin, İsrailli kurbanlarının kimlik bilgilerini toplamak için yeni berbat maksatlı yazılım yolladığını ortaya koydu. 

 

APT34, Lyceum yahut Siamesekitten olarak da bilinen OilRig, en az 2014’ten beri faal olan ve genel olarak İran merkezli olduğu düşünülen bir siber casusluk kümesi. Küme, Orta Doğu hükümetlerini; kimya, güç, finans ve telekomünikasyon dahil olmak üzere çeşitli kesimleri amaç alıyor. 

 

ESET araştırmacıları İran temaslı OilRig APT (Gelişmiş Kalıcı Tehdit) kümesinin iki saldırısını inceledi. 2021’den Outer Space ve 2022’den Juicy Mix. Bu siber casusluk taarruzlarının her ikisi de bilhassa İsrailli kuruluşları amaç alıyordu. Bu gaye, kümenin Orta Doğu’ya odaklandığını doğrular nitelikteydi ve her ikisi de birebir metotları kullanıyordu. OilRig, evvel bir C&C sunucusu olarak kullanmak üzere yasal bir web sitesinin güvenliği ihlal etti ve daha sonra kurbanlarına belgelenmemiş art kapılar sunarken, tıpkı vakitte çoğunlukla maksat sistemlerden data sızdırma için kullanılan güvenlik ihlali sonrası araçları da dağıttı. Bilhassa, Windows Kimlik Bilgisi Yöneticisi’nden ve en önemli tarayıcılardan, kimlik bilgilerinden, çerezlerden ve göz atma geçmişinden kimlik bilgileri toplamak için kullanıldılar.

 

OilRig, Outer Space hücumunda, ESET Research’ün Solar ismini verdiği kolay, daha evvel belgelenmemiş bir C#/.NET art kapısını ve Komut ve Denetim bağlantısı için Microsoft Office Exchange Web Hizmetleri API’sini kullanan yeni bir indirici olan SampleCheck5000 (veya SC5k)’yi kullandı. Tehdit aktörleri, Juicy Mix saldırısı için Solar’ı geliştirerek ek yeteneklere ve gizleme sistemlerine sahip Mango art kapısını oluşturdu. Her iki art kapı da muhtemelen amaç odaklı kimlik avı e-postaları aracılığıyla yayılan VBS dağıtımcıları tarafından kullanıldı. ESET, makus emelli araç setini tespit etmenin yanı sıra, güvenliği ihlal edilen web siteleri hakkında İsrail CERT’ini de bilgilendirdi. 

 

ESET, fonksiyon isimlerinde ve vazifelerinde astronomi tabirlerinden oluşan bir isim şeması kullanarak art kapıya Solar ismini verdi. Bir öteki yeni art kapıya ise dahili kurgu ismi ve belge ismine dayanarak Mango ismini verdi. Solar isimli art kapı, temel fonksiyonlara sahip. Başka fonksiyonların yanı sıra belgeleri indirmek ve yürütmek, etaplı evrakları otomatik olarak dışarı çıkarmak için kullanılabilir. OilRig’in Solar’ı devreye almadan evvel güvenliğini tehlikeye attığı evrede İsrailli bir insan kaynakları şirketinin web sunucusu, Komuta ve Denetim sunucusu olarak kullanıldı. 

 

OilRig, Juicy Mix kampanyası için Solar art kapısından Mango’ya geçiş yaptı. Mango, kimi değerli teknik değişikliklerle birlikte Solar’a emsal bir iş akışına ve örtüşen yeteneklere sahip. ESET, Mango’da kullanılmayan bir tespitten kaçınma tekniği keşfetti. 

OilRig’in iki saldırısını tahlil eden ESET araştırmacılarından birisi olan Zuzana Hromcová şunları söyledi: “Bu tekniğin hedefi, uç nokta güvenlik tahlillerinin bu süreçte kullanıcı modu kod kancalarını bir DLL aracılığıyla yüklemesini engellemektir. Tahlil ettiğimiz örnekte parametre kullanılmamış olsa da gelecek sürümlerde etkinleştirilebilir.”

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Bu yazı yorumlara kapatılmıştır.


HIZLI YORUM YAP
300x250r
300x250r

Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.