Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

İran bağlantılı APT39 grubu, verileri çalmak için hazır araçları kullanıyor

0

APT39 adlı siber casusluk grubu, çok çeşitli ve hazır araçları kullanarak gittikçe yaygınlaşan bir siber saldırı başlattı.

Grup Kasım 2014‘ten beri aktif olup, yaptıkları faaliyetler Chafer ve OilRig gruplarının yaptıklarına benziyor, her iki grup tarafından da TTP‘ler kullanılıyor.

Son zamanlarda, saldırılarını orta doğuda yaygınlaştıran APT39 grubunun hedefinde ABD ve Güney Kore de var.

Mağdurların çoğu telekomünikasyon ve seyahat endüstrilerine ait olsa da grubun asıl hedefi ileri teknoloji endüstri şirketleri ve hükumetler.

APT39 grubu, öncelikle POWBAT backdoor‘unun belirli türevleri ile SEAWEED ve CACHEMONEY backdoor’larını kullanıyor. FireEye tarafından yayınlanan raporlara göre:

APT39’un hedefi küresel olmakla beraber saldırılarının orta doğuda yoğunlaştığını görmek de mümkün.

APT39 telekomünikasyon sektörüne öncelik veriyor gibi gözükse de hedefinde seyahat endüstrisi, bilişim firmaları ve onları destekleyen ileri teknoloji endüstri sektörü var.

Grubun toplamış olduğu verilerde, ilgilenilen hedeflerin izlenmesinin yanı sıra jeopolitik verilerin de toplanması amaçlanıyor.

Uzmanlar, APT39 tarafından kullanılan zararlı yazılım ve dağıtım tekniklerini İran‘a bağlı diğer APT gruplarıyla karşılaştırdığında büyük bir benzerlik olduğunu gözlemledi.
FireEye’deki araştırmacılar, APT39 grubunun kullandığı POWBAT backdoor’unun, APT34 grubunun kullandığından farklı olduğunu keşfetse de iki ekip arasındaki işbirliğinin de inkar edilemez olduğunu belirtti.

APT39 ve APT34 grupları benzer hedeflere saldırmasıyla, malware dağıtım metotlarıyla, POWBAT backdoor kullanımıyla ve altyapı adlandırmalarıyla iş birliği içinde gibi gözükse de farklı bir POWBAT varyantı kullanmasıyla APT39’un APT34’ten farklı olduğunu düşünüyoruz. Bu grupların birlikte çalışması ve kaynaklarını birbirleriyle paylaşması mümkündür.” diyerek raporlarına devam ediyorlar.

Saldırılar, phishing mesajlarında kullanılan zararlı URL’lerle birlikte POWBAT’ın sisteme enjekte edilmesiyle yapılıyor. Saldırıların temeli sistemsel zafiyetlere değil insanların bilgi güvenliği farkındalık seviyelerinin düşük olması veya hiç olmamasına dayanıyor.

Ayrıca, siber suçlular ANTAK ve ASPXSPY gibi web shell‘leri kurmak için kurumların savunmasız web sunucularını da hedef alıyor ve yine siber saldırılarda kullanmak üzere çalınan/ifşa edilen Outlook Web Access (OWA) kullanıcı bilgilerini de kullanmaktadırlar.

Sızma işlemi başarılı olduktan sonra, SEAWEED ve CACHEMONEY gibi özel backdoor’lar ile hedef ortamda kalmak için POWBAT varyantını kullanıyorlar.

Saldırganlar Mimikatz ve Ncrack gibi araçları, Windows Credential Editor ve ProcDump gibi legal olarak kullanılan araçları ve BLUETORCH port tarayıcısını da kullanıyor.
Saldırganlar yapacakları hareketler için Uzak Masaüstü Protokolü(RDP), Secure Shell(SSH), PsExec, RemCom ve xCmdSvc gibi araçları kullanıyor. Saldırganların kullanmış olduğu diğer özel araçlar ise virüslü bilgisayarlar arasında SOCKS5 proxy oluşturmalarına izin veren REDTRIP, PINKTRIP ve BLUETRIP‘dir.

APT39, verileri çıkarmadan önce WinRAR veya 7-Zip kullanarak verileri sıkıştırıyor, böylece daha düşük boyutlarda ve daha hızlı yayılan bir saldırı ağı oluşturuyorlar. Ağ içerisinde aktarılırken sıkıştırılmış olduğu için zararlı olarak görülme olasılıkları da düşmüş oluyor.

FireEye’ın dediğine göre, “APT39’un hedefi yalnızca bilinen ve hedeflenen endüstriler için bir tehdit oluşturmuyor, aynı zamanda küresel ölçekteki bir çok sektörü, bireyleri ve kurumların müşterilerini de kapsıyor.

APT39’un etkinliği, İran’ın potansiyel küresel erişimini ve algılanan ulusal güvenlik tehditlerine ilişkin temel verilerin toplanmasını kolaylaştırmak ve bölgesel/küresel rakiplere karşı avantaj sağlamak için siber operasyonları nasıl düşük maliyetli ve etkili bir araç olarak kullandığını gösteriyor.

İran’ın bu tarz gruplara yaptırdığı saldırılar basit gibi gözükse de küresel ağlardaki potansiyel gücünü test etmesinde ve geliştirmesinde bu saldırılar büyük rol oynuyor. Sızabildiğiniz yere kadar sızmak, ne kadar sürede ne boyutta bir bölgeye sızılabiliyor bunları görmek ve tüm bunları denerken ileride oluşabilecek siber savaşlarda kullanılabilecek backdoor’lar bırakmak, İran’ın savaşın boyutlarını görebildiğini ve önlemler aldığını gösteriyor.

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.