Olarak bilinen tehdit aktörü Arka Kapı Diplomasisi Temmuz ve Aralık 2022 arasında İran hükümet kurumlarını hedef alan yeni bir saldırı dalgasıyla bağlantılı.
Faaliyetleri takip eden Palo Alto Networks Unit 42, takımyıldızı temalı lakap oyuncu Boğadaha önce düşmanla ilişkili olarak tanımlanan kötü amaçlı yazılım altyapısına bağlanmaya çalışan devlet alan adlarını gözlemlediğini söyledi.
APT15, KeChang, NICKEL ve Vixen Panda isimleriyle de bilinen Çinli APT grubu, en azından 2010’dan beri Kuzey Amerika, Güney Amerika, Afrika ve Orta Doğu’daki hükümet ve diplomatik kuruluşları hedef alan siber casusluk kampanyaları geçmişine sahiptir.
Slovak siber güvenlik firması ESET, Haziran 2021’de, Turian olarak bilinen özel bir implant kullanarak Afrika ve Orta Doğu’daki diplomatik kuruluşlara ve telekomünikasyon şirketlerine yönelik bilgisayar korsanlığı ekibi tarafından düzenlenen izinsiz girişleri ortaya çıkardı.
Ardından Aralık 2021’de Microsoft, 29 ülkeyi hedef alan saldırılarında grup tarafından işletilen 42 etki alanına el koyduğunu duyururken, Microsoft Exchange ve SharePoint gibi internete açık web uygulamalarını tehlikeye atmak için yama uygulanmamış sistemlere karşı açıklardan yararlanma kullandığına işaret ediyor.
Tehdit aktörü en son olarak, hedeflenen ağlara uzaktan erişim noktasına izin veren Turian’ın selefi olan Quarian’ı kullanarak Orta Doğu’daki isimsiz bir telekom şirketine yönelik bir saldırıyla ilişkilendirildi.
Turian “aktif geliştirme aşamasındadır ve yalnızca Playful Taurus oyuncuları tarafından kullanıldığını değerlendiriyoruz”, Birim 42 dedim The Hacker News ile paylaşılan bir raporda, İran’ı öne çıkaran saldırılarda kullanılan arka kapının yeni varyantlarını keşfettiğini de sözlerine ekledi.
Siber güvenlik şirketi ayrıca, Dışişleri Bakanlığı ve Doğal Kaynaklar Teşkilatı da dahil olmak üzere dört farklı İran örgütünün gruba atfedilen bilinen bir komuta ve kontrol (C2) sunucusuna ulaştığını gözlemlediğini kaydetti.
“Playful Taurus tarafından kontrol edilen altyapıya yapılan bu bağlantıların sürekli günlük doğası, bu ağlarda olası bir uzlaşma olduğunu gösteriyor” dedi.
Turian arka kapısının yeni sürümleri, C2 sunucularını ayıklamak için kullanılan güncellenmiş bir şifre çözme algoritmasının yanı sıra ek gizlemeye sahiptir. Bununla birlikte, kötü amaçlı yazılımın kendisi, bağlanmak, komutları yürütmek ve ters kabuklar oluşturmak üzere C2 sunucusunu güncellemek için temel işlevler sunması açısından geneldir.
BackdoorDiplomacy’nin İran’ı hedef alma konusundaki ilgisinin, 25 yıllık kapsamlı bir arka plana karşı geldiği için jeopolitik uzantıları olduğu söyleniyor. işbirliği anlaşması ekonomik, askeri ve güvenlik işbirliğini geliştirmek için Çin ve İran arasında imzalandı.
Araştırmacılar, “Oyuncu Boğa, taktiklerini ve araçlarını geliştirmeye devam ediyor” dedi. “Turian arka kapısına ve yeni C2 altyapısına yapılan son yükseltmeler, bu aktörlerin siber casusluk kampanyalarında başarı görmeye devam ettiğini gösteriyor.”