Siber Savaş

İran bağlantılı APT39 grubu, verileri çalmak için hazır araçları kullanıyor

3 dakikada okunur

APT39 adlı siber casusluk grubu, çok çeşitli ve hazır araçları kullanarak gittikçe yaygınlaşan bir siber saldırı başlattı.

Grup Kasım 2014‘ten beri aktif olup, yaptıkları faaliyetler Chafer ve OilRig gruplarının yaptıklarına benziyor, her iki grup tarafından da TTP‘ler kullanılıyor.

Son zamanlarda, saldırılarını orta doğuda yaygınlaştıran APT39 grubunun hedefinde ABD ve Güney Kore de var.

Mağdurların çoğu telekomünikasyon ve seyahat endüstrilerine ait olsa da grubun asıl hedefi ileri teknoloji endüstri şirketleri ve hükumetler.

APT39 grubu, öncelikle POWBAT backdoor‘unun belirli türevleri ile SEAWEED ve CACHEMONEY backdoor’larını kullanıyor. FireEye tarafından yayınlanan raporlara göre:

APT39’un hedefi küresel olmakla beraber saldırılarının orta doğuda yoğunlaştığını görmek de mümkün.

APT39 telekomünikasyon sektörüne öncelik veriyor gibi gözükse de hedefinde seyahat endüstrisi, bilişim firmaları ve onları destekleyen ileri teknoloji endüstri sektörü var.

Grubun toplamış olduğu verilerde, ilgilenilen hedeflerin izlenmesinin yanı sıra jeopolitik verilerin de toplanması amaçlanıyor.

Uzmanlar, APT39 tarafından kullanılan zararlı yazılım ve dağıtım tekniklerini İran‘a bağlı diğer APT gruplarıyla karşılaştırdığında büyük bir benzerlik olduğunu gözlemledi.
FireEye’deki araştırmacılar, APT39 grubunun kullandığı POWBAT backdoor’unun, APT34 grubunun kullandığından farklı olduğunu keşfetse de iki ekip arasındaki işbirliğinin de inkar edilemez olduğunu belirtti.

APT39 ve APT34 grupları benzer hedeflere saldırmasıyla, malware dağıtım metotlarıyla, POWBAT backdoor kullanımıyla ve altyapı adlandırmalarıyla iş birliği içinde gibi gözükse de farklı bir POWBAT varyantı kullanmasıyla APT39’un APT34’ten farklı olduğunu düşünüyoruz. Bu grupların birlikte çalışması ve kaynaklarını birbirleriyle paylaşması mümkündür.” diyerek raporlarına devam ediyorlar.

Saldırılar, phishing mesajlarında kullanılan zararlı URL’lerle birlikte POWBAT’ın sisteme enjekte edilmesiyle yapılıyor. Saldırıların temeli sistemsel zafiyetlere değil insanların bilgi güvenliği farkındalık seviyelerinin düşük olması veya hiç olmamasına dayanıyor.

Ayrıca, siber suçlular ANTAK ve ASPXSPY gibi web shell‘leri kurmak için kurumların savunmasız web sunucularını da hedef alıyor ve yine siber saldırılarda kullanmak üzere çalınan/ifşa edilen Outlook Web Access (OWA) kullanıcı bilgilerini de kullanmaktadırlar.

Sızma işlemi başarılı olduktan sonra, SEAWEED ve CACHEMONEY gibi özel backdoor’lar ile hedef ortamda kalmak için POWBAT varyantını kullanıyorlar.

Saldırganlar Mimikatz ve Ncrack gibi araçları, Windows Credential Editor ve ProcDump gibi legal olarak kullanılan araçları ve BLUETORCH port tarayıcısını da kullanıyor.
Saldırganlar yapacakları hareketler için Uzak Masaüstü Protokolü(RDP), Secure Shell(SSH), PsExec, RemCom ve xCmdSvc gibi araçları kullanıyor. Saldırganların kullanmış olduğu diğer özel araçlar ise virüslü bilgisayarlar arasında SOCKS5 proxy oluşturmalarına izin veren REDTRIP, PINKTRIP ve BLUETRIP‘dir.

APT39, verileri çıkarmadan önce WinRAR veya 7-Zip kullanarak verileri sıkıştırıyor, böylece daha düşük boyutlarda ve daha hızlı yayılan bir saldırı ağı oluşturuyorlar. Ağ içerisinde aktarılırken sıkıştırılmış olduğu için zararlı olarak görülme olasılıkları da düşmüş oluyor.

FireEye’ın dediğine göre, “APT39’un hedefi yalnızca bilinen ve hedeflenen endüstriler için bir tehdit oluşturmuyor, aynı zamanda küresel ölçekteki bir çok sektörü, bireyleri ve kurumların müşterilerini de kapsıyor.

APT39’un etkinliği, İran’ın potansiyel küresel erişimini ve algılanan ulusal güvenlik tehditlerine ilişkin temel verilerin toplanmasını kolaylaştırmak ve bölgesel/küresel rakiplere karşı avantaj sağlamak için siber operasyonları nasıl düşük maliyetli ve etkili bir araç olarak kullandığını gösteriyor.

İran’ın bu tarz gruplara yaptırdığı saldırılar basit gibi gözükse de küresel ağlardaki potansiyel gücünü test etmesinde ve geliştirmesinde bu saldırılar büyük rol oynuyor. Sızabildiğiniz yere kadar sızmak, ne kadar sürede ne boyutta bir bölgeye sızılabiliyor bunları görmek ve tüm bunları denerken ileride oluşabilecek siber savaşlarda kullanılabilecek backdoor’lar bırakmak, İran’ın savaşın boyutlarını görebildiğini ve önlemler aldığını gösteriyor.

Bunlar ilgini çekebilir
Mobil CasuslukSiber Savaş

BAE, düşmanlarına karşı telefon casusluğu yapmak için siber silah kullanmış

5 dakikada okunur
Birleşik Arap Emirlikleri için çalışan eski ABD hükumet istihbaratı teşkilatı çalışanlarından oluşan bir ekip, Karma adlı casusluk aracıyla aktivistlerin, diplomatların ve rakip…
Araştırma/AnalizSiber İstihbaratSiber Savaş

Casus Savaşları: Devlet destekli hackerlar birbirlerinden çalıyor ve kopya çekiyor

4 dakikada okunur
Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi’ne (GReAT) göre, ileri düzey siber saldırganlar, kurban verileri, saldırı alet ve teknikleri çalmak veya birbirlerinin…
Siber Savaş

WikiLeaks CIA'in füze kontrol sistemini sızdırdı

1 dakikada okunur
WikiLeaks bugüne kadar CIA‘in donanım/yazılım projelerine ait onlarca dokümanını sızdırdı. Son dönemde sızdırılan bir diğer önemli bilgi de işlemci üreticisi Microchip Technology ve…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.