Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım Dindoor Arka Kapı

Dindoor Arka Kapı

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT), Arka kapılar'de
Çevir:

Tehdit istihbaratı araştırmaları, İran devletiyle bağlantılı bir siber operasyonun Kuzey Amerika'daki çeşitli kuruluşların ağlarına başarılı bir şekilde yerleştiğine dair kanıtlar ortaya çıkardı. Etkilenen kuruluşlar arasında bankalar, havaalanları, kar amacı gütmeyen kuruluşlar ve savunma ve havacılık sektörlerine hizmet veren bir yazılım şirketinin İsrail şubesi yer alıyor.

Kampanyanın, İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı bir tehdit grubu olan MuddyWater (diğer adıyla Seedworm) tarafından gerçekleştirildiği belirtiliyor. Araştırmacılar, operasyonun Şubat 2026'nın başlarında başladığını tahmin ediyor. Kampanyayla bağlantılı ağ faaliyetleri, ABD ve İsrail'in İran'a karşı düzenlediği askeri saldırılardan kısa bir süre sonra ortaya çıktı ve bu da siber faaliyetin arkasında potansiyel bir jeopolitik tetikleyici olabileceğini düşündürüyor.

Hedef alınan yazılım sağlayıcısının İsrail şubesine özellikle dikkat çekilmiş gibi görünüyor. Şirket, savunma ve havacılık da dahil olmak üzere birçok sektöre çözüm sunuyor; bu da onu istihbarat toplama ve potansiyel olarak faaliyetlerini sekteye uğratma açısından stratejik olarak değerli bir hedef haline getiriyor.

Dindoor: Deno’yu Kullanan Yeni Keşfedilmiş Bir Arka Kapı

Saldırıları inceleyen güvenlik analistleri, daha önce belgelenmemiş Dindoor adlı bir arka kapı yazılımının kullanıldığını tespit etti. Kötü amaçlı yazılım, yürütme ortamının bir parçası olarak Deno JavaScript çalışma ortamını kullanıyor; bu, kötü amaçlı yazılımın geleneksel güvenlik izleme sistemlerinde tespit edilmekten kaçınmasına yardımcı olabilecek nispeten nadir bir tekniktir.

Yazılım tedarikçisi, bir ABD bankacılık kurumu ve bir Kanada kar amacı gütmeyen kuruluşunu içeren saldırılar, bu arka kapı yazılımının yüklenmesi için giriş noktaları olarak işlev görmüş gibi görünüyor.

Veri sızdırma girişimine dair kanıtlar da tespit edildi. Araştırmacılar, ele geçirilen yazılım şirketinin ortamından Wasabi'de barındırılan bir bulut depolama alanına bilgi aktarmak için Rclone yardımcı programının kullanıldığını gözlemledi. Analiz sırasında, veri sızdırma girişiminin nihayetinde başarılı olup olmadığı belirsizliğini koruyordu.

Fakeset arka kapısı, ele geçirilen ek ağlarda ortaya çıktı.

Python ile yazılmış Fakeset adlı ayrı bir kötü amaçlı yazılım bileşeni, bir ABD havaalanının ve başka bir kar amacı gütmeyen kuruluşun ağlarında tespit edildi. Bu arka kapı, ABD merkezli bir bulut depolama ve yedekleme sağlayıcısı olan Backblaze ile ilişkili altyapıdan elde edildi.

Zararlı yazılım, daha önce Stagecomp ve Darkcomp adlı iki farklı kötü amaçlı yazılım ailesiyle bağlantılı olduğu bilinen ve her ikisi de geçmişte MuddyWater faaliyetleriyle ilişkilendirilen bir sertifika kullanılarak dijital olarak imzalanmıştır.

Tehdit araştırmacıları, MuddyWater ekosistemiyle bağlantılı aşağıdaki imzaları taşıyan kötü amaçlı yazılım örnekleri tespit etti:

  • Trojan:Python/MuddyWater.DB!MTB
  • Arka kapı.Python.MuddyWater.a

Bu soruşturmada incelenen ele geçirilmiş ağlarda Stagecomp ve Darkcomp'un kendileri tespit edilmemiş olsa da, aynı dijital sertifikanın yeniden kullanılması, aynı tehdit aktörünün involvement'ını güçlü bir şekilde düşündürmekte ve Seedworm'a olan atfı güçlendirmektedir.

İran’ın Siber Yeteneklerini ve Sosyal Mühendislik Taktiklerini Genişletmesi

İranlı siber tehdit aktörleri son yıllarda operasyonel yeteneklerini önemli ölçüde geliştirdiler. Kötü amaçlı yazılım geliştirme ve araçları daha karmaşık hale geldi; bu da kurban ağları içinde daha gizli bir şekilde kalıcı olmayı ve daha etkili yatay hareket etmeyi mümkün kılıyor.

Aynı derecede dikkat çekici olan, insan odaklı saldırı stratejilerinin genişlemesidir. İranlı operatörler, hedefli oltalama kampanyaları ve ilgilenilen kişilerle güven oluşturmak için tasarlanmış uzun vadeli 'bal tuzağı' operasyonları da dahil olmak üzere giderek daha gelişmiş sosyal mühendislik yöntemleri sergilemiştir. Bu taktikler sıklıkla hesap erişimi sağlamak veya hassas bilgileri ele geçirmek için kullanılır.

Güvenlik Açığı Olan Kameralar Aracılığıyla Gözetim

Paralel soruşturmalar, İran bağlantılı diğer tehdit gruplarının internete bağlı gözetleme cihazlarını aktif olarak araştırdığını ortaya koymuştur. Agonizing Serpens, Marshtreader ve Pink Sandstorm takma adlarıyla da bilinen Agrius adlı aktörün, savunmasız video gözetleme altyapısını taradığı gözlemlenmiştir.

Araştırmacılar, bilinen güvenlik açıklarından yararlanılarak Hikvision kameraları ve görüntülü interkom sistemlerini hedef alan istismar girişimlerini belgeledi. Bu faaliyetler, özellikle İsrail ve bazı Körfez ülkelerinde olmak üzere, devam eden Orta Doğu çatışması sırasında yoğunlaştı.

Kampanya, Dahua ve Hikvision'ın gözetim ekipmanlarını etkileyen güvenlik açıklarından yararlanmaya odaklandı; bunlar arasında şunlar yer alıyor:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Güvenlik analistleri, bu tür güvenlik ihlallerinin, füze operasyonlarıyla ilgili operasyonel gözetim ve savaş hasarı değerlendirmesi (BDA) de dahil olmak üzere askeri istihbarat toplama faaliyetlerini destekleyebileceğine inanıyor. Bazı durumlarda, hedefleme veya sonuçların izlenmesine yardımcı olmak amacıyla füze fırlatmalarından önce kamera sızmaları gerçekleşebilir.

Kinetik Operasyonların Öncesinde Siber Faaliyetler

Gözetleme altyapısının koordineli bir şekilde hedef alınması, İran siber doktrininin dijital keşfi daha geniş askeri planlamaya entegre ettiği yönündeki uzun süredir devam eden değerlendirmelerle örtüşmektedir. Ele geçirilen kameralar, gerçek zamanlı görsel istihbarat ve durumsal farkındalık sağlayabilir.

Sonuç olarak, bilinen İran siber varlıklarıyla bağlantılı kamera altyapısına yönelik tarama faaliyetlerinin ve istismar girişimlerinin izlenmesi, olası sonraki kinetik operasyonlar için erken uyarı sinyali görevi görebilir.

Siber Misilleme Risklerinde Artış

Amerika Birleşik Devletleri, İsrail ve İran arasında tırmanan çatışma, siber misilleme riskini artırdı. Artan tehdit ortamına yanıt olarak, Kanada Siber Güvenlik Merkezi (CCCS), İran'ın kritik altyapıya karşı siber yeteneklerini kullanma ve stratejik çıkarlarını ilerletmek için etki veya bilgi operasyonları yürütme olasılığının yüksek olduğu konusunda bir uyarı yayınladı.

Bu gelişmeler, jeopolitik çatışmalar sırasında siber uzayın paralel bir savaş alanı olarak artan rolünü vurgulamaktadır; burada casusluk, sabotaj ve istihbarat toplama, geleneksel askeri eylemlere giderek daha fazla eşlik etmektedir.

trend

SharePoint üzerinden sizinle paylaşılan bir belgeyle...

Kimlik avı, İstenmeyen e-posta
Beklenmedik ve acil işlem gerektiren e-postalar her zaman dikkatle ele alınmalıdır. Siber suçlular, alıcıları hassas bilgileri ifşa etmeye kandırmak için kötü amaçlı mesajları sıklıkla meşru bildirimler gibi gösterirler. Özellikle giriş kimlik bilgilerini isteyen e-postaları incelerken dikkatli olmak, hesap güvenliğinin ihlal edilmesini ve mali zararı önlemek için çok önemlidir. Önemli olarak,...

En çok görüntülenen

Yükleniyor...