İran bağlantılı bir tehdit aktörü UNC1549 İsrail ve BAE de dahil olmak üzere Orta Doğu’daki havacılık, havacılık ve savunma endüstrilerini hedef alan yeni bir dizi saldırıya orta derecede güvenle atfedildi
Google’ın sahibi olduğu Mandiant, yeni bir analizde siber casusluk faaliyetinin diğer hedeflerinin muhtemelen Türkiye, Hindistan ve Arnavutluk’u kapsadığını söyledi.
UNC1549’un, Imperial Kitten, TA456, Tortoiseshell ve Yellow Liderc olarak da bilinen İslam Devrim Muhafızları Birliği’ne (IRGC) bağlı bir grup olan Smoke Sandstorm (önceden Bohrium) ve Crimson Sandstorm (önceden Curium) ile örtüştüğü söyleniyor. .
Şirket, “Bu şüpheli UNC1549 etkinliği en az Haziran 2022’den beri aktif ve Şubat 2024 itibarıyla hala devam ediyor” dedi. söz konusu. “Doğası gereği bölgesel ve çoğunlukla Orta Doğu’ya odaklanan hedefleme, dünya çapında faaliyet gösteren kuruluşları da kapsıyor.”
Saldırılar, Microsoft Azure bulut altyapısının komuta ve kontrol (C2) için kullanılmasını ve MINIBIKE ve MINIBUS olarak adlandırılan iki arka kapı sunmak için işle ilgili tuzaklar içeren sosyal mühendislik kullanımını gerektiriyor.
Hedef odaklı kimlik avı e-postaları, aşağıdakileri içeren sahte web sitelerine bağlantılar yaymak üzere tasarlanmıştır: İsrail-Hamas ile ilgili içerik veya sahte iş teklifleri, kötü amaçlı bir verinin konuşlandırılmasıyla sonuçlanır. Ayrıca kimlik bilgilerini toplamak için büyük şirketleri taklit eden sahte giriş sayfaları da gözlemlendi.
Özel arka kapılar, C2 erişiminin kurulmasının ardından istihbarat toplama ve hedeflenen ağa daha fazla erişim için bir kanal görevi görür. Bu aşamada devreye alınan bir diğer araç ise Azure bulutunu kullanarak iletişim kuran LIGHTRAIL adı verilen bir tünel yazılımıdır.
MINIBIKE C++ tabanlı olup dosya sızdırma, yükleme ve komut yürütme yeteneğine sahipken, MINIBUS gelişmiş keşif özellikleriyle daha “sağlam bir halef” olarak hizmet vermektedir.
Mandiant, “Bu varlıklar hakkında toplanan istihbarat İran’ın stratejik çıkarlarıyla ilgilidir ve casusluk ve kinetik operasyonlar için kullanılabilir” dedi.
“Bu kampanyada uygulanan kaçınma yöntemleri, yani C2 için bulut altyapısının kullanımıyla birleştirilmiş özel iş temalı tuzaklar, ağ savunucularının bu aktiviteyi önlemesini, tespit etmesini ve hafifletmesini zorlaştırabilir.”
CrowdStrike, kendi içinde Küresel Tehdit Raporu 2024 için, “İran’ın devlet bağlantılı düşmanlarıyla bağlantılı sahtecilerin ve kendilerini ‘Filistin yanlısı’ olarak damgalayan hacktivistlerin, 2023’te kritik altyapıyı, İsrail hava mermisi uyarı sistemlerini ve bilgi operasyonu amaçlı faaliyetleri hedeflemeye nasıl odaklandıklarını” açıkladı.
Bunlar arasında, BiBi silme kötü amaçlı yazılımını serbest bırakan Banished Kitten ve İsrail’deki 20’den fazla şirketin endüstriyel kontrol sistemlerine (ICS) karşı veri silme faaliyeti olduğunu iddia eden Moses Staff’ın takma adı olan Vengeful Kitten de bulunuyor.
Bununla birlikte, Hamas bağlantılı düşmanların çatışmayla ilgili faaliyetlerde belirgin bir şekilde yer almaması, siber güvenlik firmasının bunu bölgedeki olası güç ve internet kesintilerine bağladığı bir durum.
