olarak bilinen üretken İran ulus-devlet grubu sevimli yavru kedi adlı yeni bir kötü amaçlı yazılımla ABD, Avrupa, Orta Doğu ve Hindistan’daki birden fazla kurbanı aktif olarak hedefliyor. BellaCiaosürekli genişleyen özel araçlar listesine ekleniyor.
Bitdefender Labs tarafından keşfedilen BellaCiao, aktör tarafından kontrol edilen bir sunucudan alınan komutlara dayalı olarak kurban makineye diğer kötü amaçlı yazılım yüklerini teslim edebilen “kişiselleştirilmiş bir damlalıktır”.
Rumen siber güvenlik firması, “Toplanan her örnek belirli bir kurbana bağlıydı ve şirket adı, özel hazırlanmış alt alanlar veya ilgili genel IP adresi gibi sabit kodlanmış bilgiler içeriyordu.” söz konusu The Hacker News ile paylaşılan bir raporda.
APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (kızlık soyadı Phosphorus), TA453 ve Yellow Garuda olarak da bilinen Charming Kitten, İslam Devrim Muhafızları Kolordusu ile ilişkili İran devlet destekli bir APT grubudur (Devrim Muhafızları).
Grup, yıllar boyunca çok çeşitli sektör dikeylerine ait sistemlerde arka kapılar kurmak için çeşitli araçlar kullandı.
Gelişme, tehdit aktörünün Microsoft tarafından 2021’in sonları ile 2022’nin ortaları arasında harmPower, Drokbk ve Soldier gibi ısmarlama kötü amaçlı yazılımlar kullanarak ABD’deki kritik altyapı varlıklarına yönelik misilleme saldırılarına atfedilmesiyle geldi.
Daha sonra bu haftanın başlarında, Check Point, Mint Sandstorm’un PowerLess implantının güncellenmiş bir sürümünü Irak temalı kimlik avı tuzakları kullanarak İsrail’de bulunan kuruluşları vurmak için kullandığını ifşa etti.
Bitdefender araştırmacısı Martin Zugec, “‘Uyarlanmış’ kötü amaçlı yazılım olarak da bilinen özel olarak geliştirilmiş kötü amaçlı yazılımların tespit edilmesi genellikle daha zordur çünkü tespit edilmekten kaçınmak için özel olarak tasarlanmıştır ve benzersiz kod içerir.”
Microsoft Exchange Server veya Zoho ManageEngine gibi internete açık uygulamalardaki bilinen güvenlik açıklarından yararlanmayı gerektirdiğinden şüphelenilse de, ilk izinsiz girişi gerçekleştirmek için kullanılan kesin çalışma yöntemi şu anda belirlenememiştir.
Başarılı bir ihlali, tehdit aktörünün bir PowerShell komutu kullanarak Microsoft Defender’ı devre dışı bırakmaya çalışması ve ana bilgisayarda kalıcılık oluşturması takip eder. hizmet örneği.
Bitdefender, Charming Kitten’ın gelen talimatları işleyebilen ve kimlik bilgilerini dışarı sızdırabilen iki İnternet Bilgi Servisi (IIS) modülü indirdiğini de gözlemlediğini söyledi.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
BellaCiao, kendi adına, bir alt etki alanını bir IP adresine çözümlemek için her 24 saatte bir DNS isteği gerçekleştirmesi ve ardından güvenliği ihlal edilmiş sistemde yürütülecek komutları ayıklamak için ayrıştırılmasıyla da dikkat çekiyor.
Zugec, “Çözülmüş IP adresi, gerçek genel IP adresi gibidir, ancak küçük değişikliklerle BellaCiao’nun daha fazla talimat almasına izin verir,” diye açıkladı Zugec.
“Hedefin gerçek IP adresini taklit eden çözümlenmiş bir IP adresi aracılığıyla kötü amaçlı, sabit kodlanmış talimatlar gönderen, saldırgan tarafından kontrol edilen bir DNS sunucusuyla iletişim kurar. Sonuç, geleneksel indirme yerine sabit kodlanmış talimatlar yoluyla ek kötü amaçlı yazılımların düşmesidir.”
Çözümlenen IP adresine bağlı olarak, saldırı zinciri, rasgele dosyaların yüklenmesi ve indirilmesinin yanı sıra komutların çalıştırılmasını destekleyen bir web kabuğunun konuşlandırılmasına yol açar.
Ayrıca, PuTTY için bir komut satırı yardımcı programı olan Plink aracının yerine web kabuğunu değiştiren ikinci bir BellaCiao çeşidi de görüldü. ters proxy bağlantısı uzak bir sunucuya bağlayın ve benzer arka kapı özelliklerini uygulayın.
Saldırıların, fırsatçı saldırılardan sonraki ikinci aşamada olduğu değerlendiriliyor; burada BellaCiao, savunmasız sistemlerin ayrım gözetmeksizin sömürülmesinin ardından dikkatle seçilmiş ilgili kurbanlara karşı özelleştirildi ve konuşlandırıldı.
Zugec, “Modern saldırılara karşı en iyi koruma, derinlemesine savunma mimarisinin uygulanmasını içerir.” “Bu süreçteki ilk adım, saldırganların sistemlerinize erişmek için kullanabilecekleri giriş noktalarının sayısını sınırlamayı ve yeni keşfedilen güvenlik açıklarının hızla yamalanmasını içeren saldırı yüzeyini azaltmaktır.”