Siber güvenlik araştırmacıları, İranlı tehdit aktörlerinin ABD’deki siyasi kampanyalara yönelik son saldırılarla bağlantılı faaliyetleri desteklemek amacıyla kurduğu yeni bir ağ altyapısını ortaya çıkardı.
Recorded Future’ın Insikt Group’u, altyapıyı, APT42, Charming Kitten, Damselfly, Mint Sandstorm (eski adıyla Phosphorus), TA453 ve Yellow Garuda ile örtüşen İran bağlantılı bir siber tehdit grubu olan GreenCharlie olarak takip ettiği bir tehdit ile ilişkilendirdi.
Siber güvenlik şirketi, “Grubun altyapısı titizlikle hazırlanmış olup, kimlik avı saldırılarında kullanılan alan adlarını kaydetmek için Dynu, DNSEXIT ve Vitalwerks gibi dinamik DNS (DDNS) sağlayıcılarını kullanıyor” dedi. söz konusu.
“Bu etki alanları genellikle hedefleri hassas bilgileri ifşa etmeye veya kötü amaçlı dosyaları indirmeye çekmek için bulut hizmetleri, dosya paylaşımı ve belge görselleştirmeyle ilgili aldatıcı temalar kullanır.”
Örnekler arasında “bulut”, https://thehackernews.com/2024/08/”uptimezone”, https://thehackernews.com/2024/08/”doceditor”, https://thehackernews.com/2024/08/”joincloud” ve “pageviewer” gibi terimler yer almaktadır. Alan adlarının çoğunluğu, daha önce gözlemlenen .xyz, .icu, .network, .online ve .site TLD’lerinden farklı olarak .info üst düzey alan adı (TLD) kullanılarak kaydedildi.
Saldırganın, kullanıcıları POWERSTAR (diğer adıyla CharmPower ve GorjolEcho) ve Google’a ait Mandiant tarafından yakın zamanda İsrail ve ABD’ye karşı kampanyalarda kullanıldığı tespit edilen GORBLE gibi kötü amaçlı yazılımlarla enfekte etmek için kapsamlı sosyal mühendislik tekniklerinden yararlanan son derece hedefli kimlik avı saldırıları düzenleme geçmişi bulunuyor.
GORBLE, TAMECAT ve POWERSTAR’ın, GreenCharlie tarafından yıllar içinde dağıtılan sürekli gelişen bir dizi PowerShell implantı olan aynı kötü amaçlı yazılımın varyantları olduğu değerlendiriliyor. Proofpoint’in, Temmuz 2024 sonlarında önemli bir Yahudi figürünü hedef alan bir mızraklı kimlik avı kampanyasında kullanılan BlackSmith adlı başka bir POWERSTAR halefini ayrıntılı olarak açıkladığını belirtmekte fayda var.
Enfeksiyon süreci genellikle çok aşamalıdır; ilk aşamada kimlik avı yoluyla erişim elde edilir, ardından komuta ve kontrol (C2) sunucularıyla iletişim kurulur ve en sonunda veriler sızdırılır veya ek yükler teslim edilir.
Recorded Future’ın bulguları, tehdit aktörünün Mayıs 2024’ten bu yana çok sayıda DDNS etki alanı kaydettiğini ve şirketin ayrıca İran merkezli IP adresleri (38.180.146) arasındaki iletişimleri tespit ettiğini gösteriyor.[.]194 ve 38.180.146[.]174) ve GreenCharlie altyapısı Temmuz-Ağustos 2024 arasında.
Ayrıca, GreenCharlie kümeleri ile GORBLE tarafından kullanılan C2 sunucuları arasında doğrudan bir bağlantı ortaya çıkarıldı. Operasyonların, aktivitelerini gizlemek için Proton VPN veya Proton Mail aracılığıyla kolaylaştırıldığına inanılıyor.
Recorded Future, “GreenCharlie’nin kimlik avı operasyonları oldukça hedefli olup, sıklıkla güncel olayları ve siyasi gerginlikleri istismar eden sosyal mühendislik tekniklerini kullanıyor” dedi.
“Grup, Mayıs 2024’ten bu yana çok sayıda alan adı kaydetti, bunların çoğu muhtemelen kimlik avı faaliyetleri için kullanılıyor. Bu alan adları, IP adreslerinde hızlı değişikliklere izin veren ve grubun faaliyetlerini izlemeyi zorlaştıran DDNS sağlayıcılarına bağlı.”
Açıklama, İran’ın ABD ve diğer yabancı hedeflere yönelik kötü niyetli siber faaliyetlerinin artmasıyla birlikte geldi. Microsoft, bu haftanın başlarında ABD ve BAE’deki birçok sektörün Peach Sandstorm (diğer adıyla Refined Kitten) kod adlı İranlı bir tehdit aktörünün hedefi olduğunu açıkladı.
ABD hükümet kurumları ayrıca, İran destekli bir diğer bilgisayar korsanı ekibi olan Pioneer Kitten’ın, NoEscape, RansomHouse ve BlackCat ekipleriyle işbirliği yaparak ABD’de eğitim, finans, sağlık, savunma ve kamu sektörlerine yönelik fidye yazılımı saldırılarını kolaylaştırmak için ilk erişim aracısı (IAB) olarak çalıştığını söyledi.