APT35 (diğer adıyla Charming Kitten, Imperial Kitten veya Tortoiseshell) olarak bilinen İran bağlantılı tehdit grubu, siber saldırı cephaneliğini, eylemlerini gizlemek için geliştirilmiş yeteneklerle ve ayrıca bir mızraklı kimlik avı kampanyası yoluyla dağıttığı yükseltilmiş bir özel arka kapıyla güncelledi.
Gelişmiş Kalıcı Tehdit’in (APT) İran dışında faaliyet gösterdiği ve öncelikli olarak hesap kimlik bilgilerini ve ardından başarılı bir şekilde kimlik avı yaptıkları kişilerin e-postalarını tehlikeye atarak istihbarat toplamakla ilgili olduğu iddia edildi.
göre bir Volexity tarafından yayınlanan blog yazısı, grup yakın zamanda İsrailli bir gazeteciyi hedef alan bir “rapor taslağı” cazibesiyle hedef alan bir kimlik avı kampanyası girişiminde bulundu. “Taslak rapor”, bir arka kapı indiren kötü amaçlı bir LNK dosyası içeren parola korumalı bir RAR dosyasıydı.
Olay, oldukça hedefli bir saldırıydı; Saldırganlar kurbana kötü amaçlı yazılım göndermeden önce, kişinin ABD dış politikasıyla ilgili yazdıkları bir belgeyi incelemeye açık olup olmayacağını sordu. Hedef, gazetecilik iş kolunda alışılmadık bir talep olmadığı için bunu yapmayı kabul etti, ancak APT35 bunu hemen göndermedi – bunun yerine, saldırganlar, bir soru listesi içeren başka bir iyi niyetli e-posta ile etkileşimi sürdürdüler. hedef daha sonra cevaplarla karşılık verdi. Birkaç gün süren zararsız ve meşru gibi görünen etkileşimin ardından, saldırganlar sonunda kötü amaçlı yazılım yüklü “taslak raporu” gönderdiler.
Darktrace tehdit analizi küresel başkanı Toby Lewis, APT35’in hedefleme profilinin İran hükümetiyle bağlantılı bir gruptan görmeyi beklediğiniz temaya çok uygun olduğunu söylüyor. Diyor ki: “Bu, ısmarlamaya, gizli olmaya ve radarın altında kalmaya çalışan bir grup ve bunu yapmak için, aynı zamanda yatırımın geri dönüşünü iyileştirmeye çalışmak için sosyal mühendisliğinize gerçekten odaklanacaksınız.”
PowerStar Kötü Amaçlı Yazılımları ve Gelişen Spear-Phishing Teknikleri
Bu en son kampanyada, bilinen arka kapılarından birinin güncellenmiş bir versiyonu olan PowerStar kötü amaçlı yazılımını teslim etti. Cazibe Gücü – şifre korumalı bir .RAR dosyası içinde bir .LNK dosyası içeren bir e-posta yoluyla gönderdi.
Volexity’nin raporuna göre, bir kullanıcı tarafından yürütüldüğünde, .LNK dosyası Backblaze barındırma sağlayıcısından ve saldırgan kontrollü altyapıdan PowerStar’ı indirir. PowerStar daha sonra güvenliği ihlal edilmiş makineden az miktarda sistem bilgisi toplar ve bunu bir POST isteği yoluyla Backblaze’den indirilen bir komut ve kontrol (C2) adresine gönderir.
Volexity, PowerStar’ın bu varyantının özellikle karmaşık olduğuna inanıyor ve kötü amaçlı yazılım operatörü için basit eylemleri otomatikleştiren özel bir sunucu tarafı bileşeni tarafından desteklendiğinden şüpheleniyor. Ayrıca, uzaktan barındırılan dosyalardan, kötü amaçlı yazılımın bellek dışında algılanmasını engelleyen ve kötü amaçlı yazılımın temel işlevlerinin gelecekte analiz edilmesini önlemek için saldırgana bir kapatma anahtarı sağlayan bir şifre çözme işlevi indirilir.
Şirket, “PowerStar ile Charming Kitten, şifre çözme yöntemini ilk koddan ayrı olarak sunarak ve asla diske yazmayarak kötü amaçlı yazılımlarının analiz ve tespite maruz kalma riskini sınırlamaya çalıştı” dedi. “Bu, operasyonel bir korkuluk görevi görme avantajına sahiptir, çünkü şifre çözme yöntemini komut ve kontrol sunucusundan ayırmak, karşılık gelen PowerStar yükünün gelecekte başarılı bir şekilde şifresini çözmesini engeller.”
Lewis, APT grupları için yatırım getirisi arayışının bazen nispeten karmaşık olmayan, düşük çaba gerektiren kampanyalara yol açtığını, ancak daha sık olarak, “hedeflerine ulaşmak için ihtiyaç duydukları kadar sofistike olacak gruplarınız var” diyor. Bunun anlamı, gamı çalıştırabilir: Bazıları, başka birinden aldıkları bir şeyi kullanmak yerine, sıfır gün geliştirebilecek; diğerleri altyapılarını nasıl yönettikleri ve kontrol ettikleri konusunda karmaşıklık göstereceklerdir.
İkincisi, APT35’teki durumdur. “Bu grubun kullandığı ticari gemiye sahip olduğunuzda, özel yükleri etkili bir şekilde indirirken, üçüncü taraf hizmetlerinden farklı modülleri devre dışı bırakıyorsunuz” diyor. “Her farklı yük biraz farklı olacak, biraz ayarlanacak ve biraz ayarlanacak ve … bu tür bir yaklaşım kesinlikle görmeyi beklediğiniz şey.”
Yine de Volexity araştırmacıları, APT’den gelen operasyonları düzenli olarak gözlemlediklerini, ancak grubun saldırılarının bir parçası olarak nadiren kötü amaçlı yazılım kullandığını bulduğunu söyledi. Firmaya göre, “Operasyonlarında kötü amaçlı yazılımların bu tutumlu kullanımı muhtemelen saldırılarını izleme zorluğunu artırıyor.”
APT35, on yılı aşkın bir süredir aktiftir. göre bir 2021 blogu Darktrace’ten APT35, o zamanlar Kuzey Amerika ve Orta Doğu’daki kuruluşlara ve yetkililere karşı kapsamlı kampanyalar başlattı; genel atıf, APT35’i şu şekilde karakterize etmiştir: İran merkezli ulus devlet tehdit aktörü. Son kampanyaların, İran’ın muhalifleri adam kaçırma ve diğer kinetik operasyonlar için potansiyel olarak fiziksel olarak hedeflemesine hizmet ettiğinden şüpheleniliyordu.