İran destekli bir siber casusluk grubu aktif olarak Kuzey ve Doğu Afrika’daki telekomünikasyon şirketlerini hedef alıyor.
Symantec’teki güvenlik araştırmacılarına göre, Seedworm (diğer adıyla Gelişmiş Kalıcı Tehdit) (APT) tarafından yapılan en son siber saldırılar Çamurlu suAPT34, Crambus, Helix Kitten veya Sondaj kulesi) Mısır, Sudan ve Tanzanya’daki telekomünikasyon sektörü kuruluşlarını hedef alıyor. Özellikle 2023’ün başlarında Seedworm’un sızdığı ancak şu ana kadar adı açıklanmayan bir telekomünikasyon sektörü kuruluşu, en son saldırıların yükünü çekiyor.
Seedworm’un Gücü(Kabuk) Oyna
Kötü amaçlı aktiviteye dair ilk kanıt, araştırmacıların daha önce Seedworm’a bağladığı bir altyapı olan MuddyC2Go adlı bir komuta ve kontrol (C2) çerçevesine bağlanmak için PowerShell kodunun çalıştırılmasından geldi.
Symantec, “Saldırganlar ayrıca daha önce Seedworm etkinliğiyle ilişkilendirilen SimpleHelp uzaktan erişim aracını ve Venom Proxy’nin yanı sıra özel bir keylogging aracı ve diğer halka açık ve arazide yaşayan araçları da kullanıyor.” araştırmacılar siber saldırılara ilişkin 19 Aralık tarihli bir analizde rapor verdi.
Arazide yaşamak, kötü amaçlı etkinlikleri gizlemek için kullanıma hazır teknolojilerin ve yerel işletim sistemi uygulamalarının kullanılması anlamına gelir. Saldırganlar, meşru uygulamaları kötüye kullanarak, ele geçirilen ağda olağandışı trafik veya etkinlik oluşturmaktan kaçınır ve böylece tespit edilme risklerini azaltır.
Dark Reading, Seedworm tarafından yapılan son saldırıların ayrıntıları ve olası karşı önlemlere ilişkin öneriler hakkında yorum yapmak için Symantec’e başvurdu.
Şüphe Tohumları
Tohum kurdu 2017 yılından bu yana altı yıldır aktiftir ve daha önce de İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı. Grup genellikle, SimpleHelp ve AnyDesk uzaktan erişim yardımcı programları da dahil olmak üzere çeşitli yasal uzaktan yönetim araçlarını içeren arşivleri veya arşiv bağlantılarını içeren hedef odaklı kimlik avı e-postalarına güveniyor.
Amaçlanan hedef arşiv içindeki dosyayı açarsa, saldırganın ek araçlar ve kötü amaçlı yazılım çalıştırmasına olanak tanıyan bir uzaktan yönetim aracı yükler. Yakın zamanda yapılan bir açıklamaya göre grup, hedeflenen kuruluşlarda e-posta güvenlik ürünleri tarafından tespit edilmekten kaçınmak amacıyla, parola korumalı RAR arşivlerine kötü amaçlı yazılım yüklemeye başladı. Blog yazısı güvenlik araştırma şirketi Deep Instinct tarafından.
Grup tarafından yayılan en son kötü amaçlı dosyalar, MuddyC2Go’ya otomatik olarak bağlanan yerleşik bir PowerShell betiği içeriyor. Bu yaklaşım, komut dosyalarının saldırganlar tarafından manuel olarak yürütülmesi ihtiyacını ortadan kaldırır.
Symantec araştırmacıları, Seedworm’un genellikle telekomünikasyon, yerel yönetim, savunma, petrol ve doğal gaz dahil olmak üzere çeşitli sektörlerdeki hükümet ve özel kuruluşları hedef aldığını buldu. Grubun hedefleri çoğunlukla İran’ın Orta Doğu bölgesindeki Türkiye, İsrail, Irak, Birleşik Arap Emirlikleri ve Pakistan gibi komşularıdır.
İran’ın Siber Ticareti
İranlı siber casusluk gruplarının kurulmasıyla biliniyor LinkedIn’de sahte kimlik ve başka yerlerde, hedeflenen kuruluşlara sızmak için yamalı güvenlik açıklarına güvenmek yerine, hedefleri kötü amaçlı bağlantılar veya ekler açmaya ikna etmek için.
İran, kötü şöhretli bilgilerin keşfedilmesinin ardından siber operasyon programına yoğun yatırım yapmaya başladı. Stuxnet Stuxnet kötü amaçlı yazılımı, İran’ın nükleer tesislerindeki denetleyici kontrol ve veri toplama (SCADA) sistemlerine, özellikle de uranyum zenginleştirme santrifüjlerine bulaştı ve bunların operasyonlarını sabote etti. Güvenlik araştırmacıları, kötü amaçlı yazılımın ABD ve İsrail’in ortak istihbarat operasyonuna bağlandığını belirtti.
İran’ın İslam Devrim Muhafızları Birliği (IRGC), o zamandan bu yana yıkıcı ve yıkıcı saldırılarla ilişkilendiriliyor. şaman Suudi Arabistan ve Katar’daki petrol ve gaz şirketlerine yönelik kötü amaçlı yazılım saldırıları. Bunun aksine, MOIS büyük ölçüde gizli istihbarat elde etmeye odaklanan sivil bir istihbarat servisidir – Seedworm, İran’ın MOIS’i içinde alt bir unsur veya birim olarak adlandırılmıştır.
