İran Devrim Muhafızları Birliği’ne (IGRC) bağlı bir tehdit grubu, İsrail, Birleşik Arap Emirlikleri ve Orta Doğu’daki diğer ülkelerdeki havacılık ve savunma firmalarındaki çalışanları kandırmak ve sistemleri tehlikeye atmak için siyasi mesajlar ve sahte teknik işler sahneliyor.
Google Cloud’un Mandiant’ı tarafından keşfedilen kampanyanın, Smoke Sandstorm ve Tortoiseshell olarak da bilinen İranlı tehdit grubu UNC1549 ile bağlantılı olduğu görülüyor ve kimlik bilgileri toplamak ve kötü amaçlı yazılımları bırakmak için hedef odaklı kimlik avı ve sulama deliği saldırıları gerçekleştiriyor.
Başarılı bir uzlaşma, genellikle MINIBIKE veya daha güncel kuzeni MINIBUS olarak bilinen bir program olan, etkilenen sistemlere arka kapı yazılımının yüklenmesiyle sonuçlanır.
Google Cloud’un Mandiant baş analisti Jonathan Leathery, özel istihdam odaklı hedef odaklı kimlik avı ile komuta ve kontrol için bulut altyapısının kullanılması nedeniyle saldırının tespit edilmesinin zor olabileceğini söylüyor.
“En dikkate değer kısım, bu tehdidin keşfedilmesi ve takip edilmesinin ne kadar yanıltıcı olabileceği; önemli kaynaklara erişimleri olduğu ve hedefleme konusunda seçici oldukları” diyor. “Muhtemelen bu aktörün henüz keşfedilmemiş daha fazla faaliyeti var ve bir hedefi tehlikeye attıklarında nasıl çalıştıklarına dair daha da az bilgi var.”
İranlı tehdit grupları hükümet sırlarını ve fikri mülkiyet haklarını toplamak için giderek daha fazla hassas endüstrileri hedef alıyor. Microsoft, 2021’de, örneğin İran bağlantılı siber operasyon gruplarının, hükümet müşterilerinin ağlarına girmenin bir yolu olarak BT hizmetleri şirketlerine odaklanan dramatik bir değişime dikkat çekti. Şirket izinsiz girişleri tespit etti ve gönderdi BT hizmetleri firmalarına 1.647 bildirim İran merkezli aktörlerin kendilerini hedef aldığını tespit ettikten sonra, Microsoft’un 2020’de gönderdiği bu türden yalnızca 48 bildirimden büyük bir sıçrama yaşandı.
Duman ve Kötü Amaçlı Yazılım
Microsoft, grubun adı olan Smoke Sandstorm’un, muhtemelen firmanın hükümet müşterilerine erişim sağlamanın bir yolu olarak Bahreyn merkezli bir BT entegratörünün e-posta hesaplarını 2021 yılında ele geçirdiğini belirtti. Microsoft Grubun hedef odaklı kimlik avı operasyonlarından bazılarını aksattı Mayıs 2022’de.
Google tarafından UNC1549 ve CrowdStrike tarafından Imperial Kitten olarak da bilinen Tortoiseshell grubu, BT hizmet sağlayıcılarına odaklanmaya devam ederken, grup artık birincil ilk enfeksiyon taktiği olarak sulama deliği saldırıları ve hedef odaklı kimlik avı da gerçekleştiriyor.
Ancak tehdit grubu o zamandan beri yeniden bir araya geldi ve Şubat 2024 itibarıyla İsrail ve BAE’deki havacılık, havacılık ve savunma firmalarını hedef alıyor. Google analizinde belirtti. Grubun Arnavutluk, Hindistan ve Türkiye’deki benzer sektörlere yönelik siber saldırılarla da bağlantısı olabilir.
Google, “Bu kuruluşlar hakkında toplanan istihbarat, İran’ın stratejik çıkarlarıyla ilgilidir ve casusluk ve kinetik operasyonlar için kullanılabilir” diye yazdı. “Bu, UNC1549 ile İran Devrim Muhafızları arasındaki potansiyel bağlarla da destekleniyor.”
Hedef odaklı kimlik avı mesajları, özellikle teknoloji ve savunma ile ilgili pozisyonlara odaklanan bir şantiye sitesi gibi görünen veya İsrailli rehinelerin geri gönderilmesi çağrısında bulunan “Onları Şimdi Eve Getirin” hareketinin bir parçası gibi görünen web sitelerine bağlantılar gönderiyor.
Saldırı zinciri sonunda kurbanın sistemine iki benzersiz arka kapıdan birinin indirilmesine yol açar. MINIBIKE, komut yürütmenin yanı sıra verilerin dışarı sızmasına veya yüklenmesine olanak tanıyan, arka kapı olarak tasarlanmış bir C++ programıdır. Google’a göre, onun daha yeni versiyonu olan MINIBUS, daha fazla esneklik ve “gelişmiş keşif özellikleri” içeriyor.
Özelleştirilmiş Siber Saldırılar
UNC1549 grubunun, hedef grupla eşleşen alan adlarını rezerve etmek de dahil olmak üzere, saldırılar öncesinde önemli bir keşif ve hazırlık yaptığı görülüyor. Leathery, hedeflenen her firma için oluşturulan özel içerik düzeyi nedeniyle, hedeflenen kuruluşların toplam sayısını tahmin etmenin zor olduğunu söylüyor.
“Veriler onların belirli hedefleri belirlediklerini gösteriyor [and] daha sonra muhtemelen stratejilerini hedef etrafında şekillendirirler; örneğin, doğrudan belirli bir hedefle ilgili olan alanları kaydederler” diyor ve şöyle devam ediyor: “Birçok durumda, oluşturulması veya araştırılması gereken sahte içerik içeriyorlar” [or] kamuya açık meşru bilgilerden yeniden tasarlandı.”
Google Cloud’un Mandiant’ı ilişkilendirmeyi “orta” güven düzeyinde derecelendirdi; bu da tehdit araştırmacılarının etkinliğin büyük olasılıkla UNC1549 grubu tarafından gerçekleştirildiğine inandıkları anlamına geliyor.
“Bunu UNC1549’un gerçekleştirmiş olmasının çok muhtemel olduğunu düşünüyoruz, ancak bunun farklı bir grup olabileceğini dışlayacak yeterli kanıt yok” diyor. “Ancak, bu beklenmedik koşullarda bile, bunun yalnızca farklı bir grubun AB’yi desteklemek için faaliyet gösterdiğini düşünüyoruz. İran hükümeti“
E-posta Bağlantılarına ve Şüpheli İşaretlere Dikkat Edin
Google, teknik analizinde, MINIBIKE kötü amaçlı yazılımına yönelik belirli güvenlik ihlali göstergelerini (IOC’ler) ayrıntılarıyla anlatıyor; bunlar arasında komuta ve kontrol için dört Azure etki alanı kullanımı, kalıcılığı korumak için bir OneDrive kayıt defteri anahtarı ve Web bileşenlerini taklit eden üç dosya adı üzerinden dönen işaretçi iletişimleri yer alıyor. .
Bu arada yeni MINIBUS daha kompakt ve esnektir. Google, kullanımda olabilecek bir dizi DLL dosya adını listeliyor ve kötü amaçlı yazılımın, sanal makinede çalışıp çalışmadığının yanı sıra güvenlik uygulamalarının da çalışıp çalışmadığını tespit etmeye çalıştığı konusunda uyarıyor.
Google’a göre, UNC1549’un araştırma hedeflerine ve özelleştirilmiş hedef odaklı kimlik avına güvenmesi nedeniyle şirketlerin e-postalardaki güvenilmeyen bağlantıları engellemesi ve çalışanlarını en son kimlik avı yöntemleri konusunda güncel tutmak için farkındalık eğitimlerine yönelmesi gerekiyor.