Özellikle denizcilik sektörüne odaklanan, sağlıktan enerjiye kadar çeşitli sektörleri hedef alan Farsça konuşan bir tehdit grubu keşfedildi.
göre Mandiant’tan raporUNC3890 adlı grubun adını taşıyan kampanya, etkinliği gizlemek için e-posta kaynaklı sosyal mühendislik yemleri ve meşru bir İsrail denizcilik şirketinin giriş sayfasında barındırılan bir sulama deliği kullanıyor. Rapor, ağırlıklı olarak İsrailli kurbanları hedef alırken, hedeflerin çok uluslu şirketleri de içerdiğini ve tehdidin küresel bir etkiye sahip olabileceğini öne sürdü.
Firmaya göre, kimlik bilgilerinin çalınması, tehdit aktörünün casusluk amacıyla hedeflenen bir kuruluşa ilk erişim elde etmesine izin verebilir. Örneğin, kimlik bilgileri, aktörün bir kurbanın Office 365 posta kutusuna bağlanmasına ve kurbanın tüm e-posta yazışmalarını çalmasına izin verebilir, böylece kurban ve kuruluşlarının etkinliği hakkında değerli bilgiler edinebilir.
Raporda, “Birden fazla hedefle iletişim kuran C2 sunucularının yanı sıra İsrail denizcilik sektörünü, özellikle de hassas bileşenleri işleyen ve sevk eden kuruluşları hedef aldığına inandığımız bir su birikintisi olduğunu gözlemledik.”
Mandiant kıdemli analist Ofir Rozmann, bu aktörün denizcilik sektöründe gösterdiği ilginin en çok endişe verici olduğunu, çünkü topladığı istihbaratın kinetik savaş operasyonları gibi daha agresif çabalar için kullanılabileceğini söylüyor.
“Saldırganların tam olarak hangi verilere eriştiğini bilmesek de, bir nakliye şirketinin web sitesini tehlikeye atmak ve kullanıcıları hakkında bilgi toplamak, saldırganlara kargonun içeriği, ne zaman gönderildiği ve zaman içindeki konumu hakkında veriler sağlamış olabilir” diye açıklıyor. . “İran bu gönderileri hedef alan kinetik operasyonlar yapmak istiyorsa bu tür veriler önemlidir.”
Ayrıca, bu tür erişim, kuruluş içinden kimlik avı e-postaları göndermek, meşruiyeti desteklemek ve daha fazla posta kutusu ve/veya bilgisayarı tehlikeye atmak veya alt müşterileri etkilemek için de kullanılabilir.
Özel Kötü Amaçlı Yazılımların Tadı
Birbirine bağlı bir komuta ve kontrol (C2) sunucuları ağını işleten grup, Office 365 ve sosyal ağlar LinkedIn ve Facebook dahil olmak üzere meşru hizmetleri sahte iş teklifleri ve AI tabanlı robotik bebekler için sahte reklamlar içeren kimlik avı cazibeleriyle kandırıyor. .
Bir kurbanın güvenliği ihlal edildiğinde grup, Mandiant’ın Sugarush ve Sugardump olarak adlandırdığı iki özel kötü amaçlı yazılım parçası gönderir.
Sugarush, yeni analize göre, TCP üzerinden sabit kodlanmış bir C2 adresine ters bir kabuk oluşturan bir arka kapıdır.
Bu arada Sugardump, Chrome, Opera ve Edge Chromium tarayıcılarından kimlik bilgilerini toplamak için kullanılıyor ve bu da çalınan verileri Gmail, Yahoo ve Yandex e-posta hizmetleri aracılığıyla da sızdırabiliyor.
Rapora göre, Sugardump’ın ilk sürümü 2021’e kadar uzanan ve kimlik bilgilerini sızdırmadan saklayan birkaç sürümü gözlemlendi. Sonraki sürümler, C2 iletişimleri için SMTP veya HTTP kullanır ve daha gelişmiş kimlik bilgisi toplama işlevlerine sahiptir.
UNC3890 tarafından kullanılan diğer araçlar arasında PowerShell tipi saldırılar için Unicorn, Metasploit çerçevesi ve penetrasyon testi ve kırmızı ekip oluşturma için geliştirilmiş, herkese açık bir açık kaynaklı C2 çerçevesi olan NorthStar C2 yer alır.
Raporda, “Ayrıca, meşru kişilerin Facebook ve Instagram hesaplarının kazınmış içeriklerini içeren birkaç .ZIP dosyasını barındıran bir UNC3890 sunucusu belirledik” diyor. “UNC3890 tarafından hedef alınmış veya bir sosyal mühendislik çabasında yem olarak kullanılmış olmaları mümkündür.”
Grup, en az 2020’nin sonundan beri faaliyette ve şu anda aktif bir tehdit olarak algılanıyor.
Birçok Sonuç için Casusluk
Rozmann, istihbarat toplamanın devlet destekli herhangi bir faaliyetin önemli bir bileşeni olduğunu ekliyor, çünkü bu, hedeflerine yönelik stratejiler oluştururken/planlar yaparken liderliğin ve İran istihbarat teşkilatlarının bilgilendirilmesine yardımcı olabilir.
Mandiant’a göre, “Bu aktörün istihbarat toplamaya odaklandığına inansak da, toplanan veriler hack-ve-sızdırmadan son yıllarda denizcilik endüstrisini rahatsız eden kinetik savaş saldırılarını mümkün kılmaya kadar çeşitli faaliyetleri desteklemek için kullanılabilir.” analiz.
İster gizli kalsın ister daha açık operasyonlar için kullanılsın, istihbarat bir tehdit aktörü için seçenekler sunar. Örneğin, devlet sektörünü hedeflemek, gelecekteki müzakereler için faydalı olabilecek, ifşa/satılan veya mağdurlara karşı kullanılabilecek hassas stratejik, politik veya savunmayla ilgili verilere erişim sağlayabilir.
İran Hükümetine Atıf?
Rozmann, UNC3890’ın neredeyse kesin olarak İran’da yerleşik olmasına rağmen, “bunun devlet destekli bir tehdit olup olmadığını belirlemek için yeterli kanıtımız yok” diye belirtiyor. “Ancak, aktörün coğrafi odağına, hedeflenen sektörlere ve istihbarat toplamaya odaklanmasına dayanarak bu makul.”
Finansal olarak motive olmuş tipik bir siber suç çetesinin muhtemelen banka hesapları gibi diğer bilgilerle ilgileneceğini ve fidye yazılımı saldırıları gibi diğer yöntemleri kullanacağını da ekliyor.
“Ayrıca, potansiyel karı en üst düzeye çıkarmak için daha geniş bir sektör ve coğrafya yelpazesini hedefleyecektir” diyor.
Amerika Birleşik Devletleri, Birleşik Krallık ve Avustralya, yakın zamanda İran bağlantılı siber saldırı gruplarının saldırılarının operasyonları hızlandırdığı konusunda uyardı.
İran devleti, su altyapısına ve bir sigorta şirketine saldırılar da dahil olmak üzere İsrail’deki sivilleri hedef alan birçok girişimden sorumlu tutuldu.
Haziran ayında Microsoft, OneDrive kişisel depolama hizmetini kötüye kullanan tehdit aktörlerini keşfettikten sonra İran bağlantılı Lübnanlı hack grubu Polonium’u devre dışı bıraktı. Yazılım devi, hedeflenen kuruluşlar arasında kritik üretim, ulaşım sistemleri, finansal hizmetler, BT ve İsrail’in savunma endüstrisinde yer alanların olduğunu söylüyor – bunların tümü, tedarik zinciri saldırılarını gerçekleştirmek için bir yol sunuyor.