İranlı Hackerlar Yüksek Riskli Siber Saldırılarda Tickler Kötü Amaçlı Yazılım Kullanıyor
Küresel siber güvenlik için endişe verici bir gelişmede, İran devlet destekli bilgisayar korsanları, ABD ve Birleşik Arap Emirlikleri'ndeki kritik altyapılara sızmak ve istihbarat toplamak için Tickler adlı yeni bir özel kötü amaçlı yazılım tanıttı. Microsoft tarafından Peach Sandstorm olarak izlenen bu karmaşık kampanyanın arkasındaki grup —APT33 , Elfin ve Refined Kitten gibi çeşitli diğer takma adlarla da bilinir— hedeflenen sektörlerden değerli verileri elde etme konusunda amansızdı.
İçindekiler
Siber Arenada Yeni Bir Tehdit
Tickler , yalnızca başka bir kötü amaçlı yazılım parçası değil; İran siber casusluk araçlarının yeteneklerinde önemli bir sıçramayı temsil ediyor. Bu çok aşamalı arka kapı, saldırganların bir dizi kötü amaçlı aktiviteyi yürütmesine olanak tanıyarak, tehlikeye atılmış sistemlere derinlemesine girmek üzere tasarlanmıştır. Hassas sistem bilgilerini toplamaktan komutları yürütmeye ve dosyaları değiştirmeye kadar, Tickler saldırganlar için çok yönlü bir araç görevi görüyor.
Kritik Sektörleri Hedefleme
Bu kampanyanın birincil hedefleri arasında uydu, iletişim, hükümet ve petrol ve gaz endüstrilerindeki kuruluşlar yer alıyor; bu sektörler hem ABD hem de BAE'nin ulusal güvenliği için kritik öneme sahip. Saldırganların stratejisi açık: Bu ulusların altyapılarında önemli rol oynayan sektörleri bozmak ve onlardan istihbarat toplamak.
Şeftali Kum Fırtınasının Sürekli Tehlikesi
Peach Sandstorm yıllar boyunca kalıcı ve gelişen bir tehdit gösterdi. 2023'ün sonlarında grubun faaliyetleri arttı ve ABD savunma sanayi üssündeki çalışanlara odaklandı. Yaklaşımları teknik istismarlarla sınırlı değil; ayrıca istihbarat toplamak ve kötü niyetli planlarını yürütmek için özellikle LinkedIn aracılığıyla sosyal mühendisliği de kullandılar.
Sosyal Mühendisliğin Gücü
LinkedIn, bu bilgisayar korsanları için değerli bir araç olduğunu kanıtladı ve hedeflerini sahte bir güvenlik duygusuna çeken ikna edici sosyal mühendislik saldırıları tasarlamalarını sağladı. Profesyonel ağlar içindeki güveni manipüle ederek, Peach Sandstorm aksi takdirde güvenli kalacak savunmaları etkili bir şekilde ihlal ediyor.
Cephaneliklerini Genişletiyorlar
Tickler kullanımına ek olarak, grup zayıf parolaları istismar ederek birden fazla hesabı tehlikeye atmayı amaçlayan bir teknik olan parola spreyi saldırılarını kullanmaya devam etti. Son zamanlarda, bu saldırılar ABD ve Avustralya'daki savunma, uzay, eğitim ve hükümet sektörlerinde gözlemlendi.
Zararlı Kazançlar İçin Bulut Altyapısından Yararlanma
Bu kampanyanın en endişe verici yönlerinden biri, komuta ve kontrol operasyonları için sahte Azure aboneliklerinin kullanılmasıdır. Meşru bulut altyapısından yararlanarak, bilgisayar korsanları faaliyetlerini gizleyebilir ve savunucuların saldırılarını tespit edip azaltmasını daha zor hale getirebilir.
Koordineli Bir Siber Saldırı
Microsoft'un Peach Sandstorm raporunun zamanlaması dikkat çekicidir, Google Cloud'un İran karşı istihbarat operasyonları hakkındaki Mandiant raporu ve ABD hükümetinin İran devlet destekli siber faaliyetleri hakkındaki tavsiyesiyle çakışmaktadır. Bu, İranlı aktörlerin siber etkilerini genişletmek ve etkilerini artırmak için fidye yazılımı gruplarıyla iş birliği yapmak için daha geniş ve koordineli bir çabayı göstermektedir.
Dikkatli Olmanın Gerekliliği
İranlı hackerlar taktiklerini geliştirmeye devam ettikçe, özellikle kritik sektörlerdeki kuruluşların uyanık kalması zorunludur. Tickler'ın tanıtımı, siber casuslukta yeni bir dönemi başlatarak, bu büyüyen tehditlerle mücadele için sağlam siber güvenlik önlemlerine ve uluslararası iş birliğine olan ihtiyacı vurgulamaktadır.
Siber güvenlik uzmanları ve kuruluşları, Peach Sandstorm gibi devlet destekli aktörlerin giderek daha karmaşık hale gelen saldırılarına karşı savunmaya hazır olduklarından emin olarak bu gelişmelerin önünde kalmalıdır.