İran devleti destekli bir tehdit aktörü, gizli, özelleştirilebilir bir kötü amaçlı yazılım çerçevesi kullanarak Orta Doğu’daki yüksek değerli kuruluşlar hakkında en az bir yıldır casusluk yapıyor.
İçinde 31 Ekim’de yayınlanan bir raporCheck Point ve Sygnia’dan araştırmacılar, kampanyayı İran’la bağlantılı “önceki faaliyetlerle karşılaştırıldığında çok daha karmaşık” olarak nitelendirdi. Hedefler şu ana kadar İsrail, Irak, Ürdün, Kuveyt, Umman, Suudi Arabistan ve Birleşik Arap Emirlikleri’ndeki hükümet, askeri, finans, BT ve telekomünikasyon sektörlerini kapsıyordu. Şu ana kadar çalınan verilerin kesin niteliği kamuya açıklanmadı.
Check Point tarafından “Yaralı Manticore” ve Cisco Talos tarafından “Shrouded Snooper” olarak takip edilen sorumlu grup, İran İstihbarat ve Güvenlik Bakanlığı ile bağlantılı. Ünlü OilRig (diğer adıyla APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm) ile örtüşüyor ve araçlarından bazıları 2021’de Arnavutluk hükümet sistemlerine yönelik ikili fidye yazılımı ve temizleme saldırılarında gözlemlendi. Ancak en yeni silahı — Gelen trafikten yükleri çıkarmak için HTTP.sys sürücüsünün belgelenmemiş işlevlerinden yararlanan “Liontail” çerçevesi tamamen kendine aittir.
Check Point’in tehdit istihbaratı grup yöneticisi Sergey Shykevich, “Bu yalnızca ayrı Web kabukları, proxy’ler veya standart kötü amaçlı yazılımlardan ibaret değil” diye açıklıyor. “Bu, hedeflerine çok özel, tam ölçekli bir çerçeve.”
Yaralı Manticore’un Gelişen Araçları
Scarred Manticore, en az 2019’dan beri Orta Doğu’daki yüksek değerli kuruluşların İnternet’e bakan Windows sunucularına saldırıyor.
İlk günlerinde, değiştirilmiş bir versiyonunu kullanıyordu. açık kaynak Web kabuğu Tunna. GitHub’da 298 kez forklanan Tunna, ağ kısıtlamalarını ve güvenlik duvarlarını aşarak TCP iletişimini HTTP üzerinden tünelleyen bir araç seti olarak pazarlanıyor.
Zamanla grup Tunna’da yeterince değişiklik yaptı ve araştırmacılar onu “Foxshell” yeni adı altında takip etti. Ayrıca İnternet Bilgi Hizmetleri (IIS) sunucuları için tasarlanmış .NET tabanlı arka kapı gibi diğer araçlardan da yararlandı. ilk olarak Şubat 2022’de ortaya çıkarıldı ancak ilişkilendirilmedi.
Foxshell’den sonra grubun en yeni ve en büyük silahı geldi: Liontail çerçevesi. Liontail, bellekte yerleşik olan, yani dosyasız oldukları, belleğe yazıldıkları ve bu nedenle arkalarında çok az fark edilebilir iz bıraktıkları anlamına gelen, özel kabuk kodu yükleyicileri ve kabuk kodu yüklerinden oluşan bir dizidir.
Shykevich, “Son derece gizli çünkü tespit edilmesi ve önlenmesi kolay büyük bir kötü amaçlı yazılım yok” diye açıklıyor. Bunun yerine, “çoğunlukla PowerShell, ters proxy’ler, ters kabuklar ve hedeflere göre özelleştirilmiş.”
Aslan Kuyruğu Tespiti
Liontail’in en gizli özelliği, Windows HTTP yığın sürücüsü HTTP.sys’ye doğrudan çağrılarla yükleri nasıl uyandırdığıdır. İlk olarak Eylül ayında Cisco Talos tarafından açıklanan kötü amaçlı yazılım, esas olarak kendisini bir Windows sunucusuna bağlayarak saldırganın belirlediği belirli URL kalıplarıyla eşleşen mesajları dinliyor, yakalıyor ve kodunu çözüyor.
Aslında, Sygnia olay müdahale ekibi lideri Yoav Mazor şöyle diyor: “Bir Web kabuğu gibi davranıyor, ancak geleneksel Web kabuğu günlüklerinin hiçbiri aslında yazılmıyor.”
Mazor’a göre Scarred Manticore’un ortaya çıkmasına yardımcı olan başlıca araçlar Web uygulaması güvenlik duvarları ve ağ düzeyinde dinlemeydi. Shykevich ise bu tür gelişmiş operasyonları ortadan kaldırmak için XDR’nin önemini vurguluyor.
“Uygun bir uç nokta korumanız varsa buna karşı savunma yapabilirsiniz” diyor. “Ağ düzeyi ile uç nokta düzeyi arasındaki korelasyonları, yani uç nokta cihazlarındaki Web kabukları ve PowerShell trafiğindeki anormallikleri arayabilirsiniz. Bu en iyi yoldur.”