Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

Yeni Tehdit Grubu LYCEUM’um Hedefi Petrol ve Gaz Firmaları

0

Güvenlik araştırmacıları, zararlı yazılım içeren spear phishing (hedef odaklı phishing/oltalama) e-postaları ile Orta Doğu‘daki önemli altyapı firmalarını hedef alan yeni bir tehdit grubu tespit ettiler.

LYCEUM adlı tehdit grubunun 2019 yılında petrol ve gaz şirketlerine zararlı Microsoft Excel eklentileri barındıran spear phishing e-postaları gönderdiği gözlemlendi.

Bu eklentilere tıklandığında, şirket ağına sızmaya çalışarak çalışanların kimlik bilgileri ve diğer hesap bilgilerini çalmak ve etkilenen sitemdeki tuş vuruşlarını kaydetmek (keylogger) için izinsiz giriş araçları kullanan DanBot adında yeni keşfedilen bir zararlı yazılım indirilmektedir.

Secureworks Counter Threat Unit‘de kıdemli güvenlik araştırmacısı olan Rafe Pilling, şunları söylüyor:
LYCEUM adlı grubun tespit edilmeden önce bir yıldan fazla bir süre faaliyet gösterdiği düşünülüyor ve İranlı tehdit gruplarına benzer bir stile sahip yeni bir grup keşfetmek ilginç, fakat diğer yandan bu grubun daha önceki belgelenmiş faaliyetlerde etkinlik gösterdiğine dair farklı hiçbir teknik özellik yok.

Araştırmacılar, LYCEUM’un Nisan 2018 gibi erken bir zamanda aktif olduğuna inanıyor.
Çünkü domain kayıtları LYCEUM’un ilk defa 2018’in ortalarında Güney Afrika‘daki hedeflerine odaklandığı bir phishing kampanyası başlattığını gösteriyor.

Mayıs 2019’da Orta Doğu’daki petrol ve doğal gaz hedeflerine karşı bir kampanya başlatılırken, Şubat 2019‘da araştırmacılar, çevrimiçi zararlı yazılım tarama sitelerinde tehdit grubunun araçlarının taratılma sayısında yükseliş gördü.

İleriye baktığımızda, araştırmacıların bu tehdit grubunun diğer ülkelere yönelik hedefini genişleteceği yönünde endişeleri var.

Araştırmacılar, “LYCEUM Orta Doğu’daki enerji kuruluşları için ortaya çıkan bir tehdit olarak görünse de gelecekteki hedefleri bu sektörle sınırlı kalmayacaktır.

LYCEUM ilk olarak, password spraying veya brute-force atak yöntemlerini kullanarak ele geçirilen hesaplardan elde edilen bilgilerle firmalara erişim sağlamaya çalışır.
Daha sonra saldırganlar birden çok departmana spear phishing saldırları ile eğitim programı içeren kötü amaçlı yazılım içeren belgeler gönderir.
Daha önceki kampanyalardaki zararlı belgeler “security best practice” temasını kullanmaktaydı..

Araştırmacılar, “Bireysel İK hesaplarını ele geçirerek elde edilen bilgiler hedeflenen çevredeki ilgili kuruluşlara karşı yeni spear phishing işlemlerinde kullanılabilir. Bunun yanında, ele geçirilen IT personellerine ait kullanıcı hesapları, tehdit aktörlerine, ilgilenilen sistemleri ve verileri bulma konusunda yardımcı olabilecek yüksek ayrıcalıklar vererek erişim kolaylığı sağlamaktadır.

DanBot, popüler bir bankacılık trojanı olan Danabot‘ ile karıştırılabilir, sadece izim benzerliği vardır ve amaçları farklıdır.

DanBot, DNS ve HTTP tabanlı iletişim metotlarını kullanmakta, ayrıca uzaktan komut çalıştırma, ek modüller çalıştırmak ve dosya yüklemek gibi uzaktan erişim yeteneği sağlamaktadır.

Saldırıda sızılan sistemlerdeki pencere başlıklarını ve tuş vuruşlarını yakalamak için Powershell‘de yazılmış özel bir keylogger (kl.ps1) RDCman yapılandırma dosyasında depolanan şifreleri çözmek için Decrypt-RDCMan.ps1 adlı bir bileşen ve son olarak da Active Directory‘den hesap bilgileri toplamak için bir PowerShell scripti (Get-LAPSP.ps1) kullanılmaktadır.

Araştırmacılar, bu nitelik değerlendirmesini destekleyecek yeterli teknik kanıtlarının olmadığını belirttiler.
Ancak, LYCEUM tarafından kullanılan birçok yöntem, Orta Doğu ve Kuzey Afrika‘da bulunan telekomünikasyon, hükumet, savunma, petrol ve finans hizmetleri şirketlerini hedef alan, İran hükumetiyle bağları olduğuna inanılan Cobalt Gypsy gibi APT gruplarına işaret ediyor.

Araştırmacılar, “Gözlemlenen espiyonaj yöntemleri Cobalt Gypsy gibi grupların aktiviteleriyle benzerlik gösteriyor. Ancak, LYCEUM ile ilgili toplanan zararlı yazılımların hiçbiri, bu veya bilinen diğer tehdit gruplarında gözlemlenen faaliyetlerle doğrudan bağlantı kurmuyor.

Şirketlerin kendilerini koruyabilmeleri için iki faktörlü kimlik doğrulama uygulamalarını, EDR ile son kullanıcı üzerindeki hakimiyeti ve görünürlüğü arttırmalarını ve bunlarla birlikte çalışanlarını potansiyel spear phishing e-posta belirtilerine dikkat etmeleri konusunda eğitmeleri gerekmektedir.

 

Gönderen: Zehra Uyar

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.