MURKYTOUR Arka Kapı
Ekim 2024'te İran'la bağlantılı bir tehdit aktörü olan UNC2428, İsrailli bireyleri hedef alan bir siber casusluk kampanyası başlattı. İsrailli savunma yüklenicisi Rafael'in işe alımcıları gibi görünen grup, kurbanları cezbetmek için iş temalı bir sosyal mühendislik planı kullandı. Bireyler ilgi gösterdiğinde, Rafael'i taklit eden sahte bir web sitesine yönlendirildiler ve burada 'RafaelConnect.exe' adlı bir uygulama aracını indirmeleri istendi.
İçindekiler
İlgi Alanından Saldırıya: Kötü Amaçlı Yazılım Dağıtım Zinciri
İndirilen araç aslında LONEFLEET olarak bilinen bir yükleyiciydi. Kişisel bilgiler ve özgeçmiş yüklemesi isteyen meşru bir iş başvuru portalı gibi görünmek üzere tasarlanmış bir grafiksel kullanıcı arayüzü (GUI) içeriyordu. Görünüşte zararsız olan bu arayüz zararlı niyeti gizliyordu. Veri gönderimi üzerine, MURKYTOUR adlı bir arka kapı LEAFPILE adlı bir başlatıcı aracılığıyla arka planda sessizce konuşlandırıldı ve saldırganlara enfekte olmuş sisteme sürekli erişim hakkı verildi. Bu yaklaşım, tehdit aktörlerinin kötü amaçlı yazılım yürütmeyi iyi huylu bir etkinlik olarak gizlemek için GUI'leri stratejik olarak kullanmalarını vurgular.
Birden Fazla Oyuncu: Genişleyen İran Siber Tehdit Manzarası
UNC2428, daha geniş bir İran siber operasyon bulmacasının sadece bir parçasıdır. Kampanya, İsrail Ulusal Siber Müdürlüğü tarafından suçlanan ve İran İstihbarat ve Güvenlik Bakanlığı (MOIS) altında faaliyet gösterdiğine inanılan bir kuruluş olan Black Shadow ile bağlantılı faaliyetlerle ortak özellikler taşımaktadır. Hedefleri, İsrail'deki çok sayıda sektörü kapsamaktadır, bunlar arasında şunlar yer almaktadır:
- Hükümet ve savunma
- Sağlık ve finans
- Teknoloji ve iletişim
MuddyWater grubuyla ilişkili bir diğer aktör olan UNC3313, 2022'den beri spear-phishing kampanyaları yürütüyor ve gizliliği ve sürekli erişimi sürdürmek için meşru uzaktan izleme araçlarını kullanmasıyla biliniyor. Bu arada, UNC1549 kurumsal ortamlara daha iyi uyum sağlamak ve tespit edilmekten kaçınmak için bulut tabanlı altyapıya doğru ilerledi.
Manipülasyonun Ustaları: APT42 ve Ötesi
APT42 , Charming Kitten olarak da bilinir, karmaşık sosyal mühendislik teknikleriyle ünlüdür. Bu grup, kimlik bilgilerini toplamak için Google, Microsoft ve Yahoo! gibi büyük platformları taklit eden sahte giriş sayfaları kullanmıştır. Kurbanları bu kötü amaçlı sayfalara yönlendirmek için Google Sites ve Dropbox gibi platformları kullanmışlar ve aldatmacalarını artırmışlardır.
Ayrıca, APT34 (OilRig), Irak hükümet sistemlerine yönelik saldırılarda DODGYLAFFA ve SPAREPRIZE gibi özel arka kapılar kullanmıştır. Siber güvenlik uzmanları, toplamda, 2024'te çeşitli Orta Doğu siber operasyonlarında İranlı aktörler tarafından geliştirilen veya kullanılan 20'den fazla benzersiz kötü amaçlı yazılım ailesini tespit etmiştir.
Sonuç: Kalıcı ve Gelişen Bir Tehdit
İranlı siber aktörler, psikolojik manipülasyonu teknik karmaşıklıkla birleştirerek taktiklerde dikkate değer bir evrim gösterdi. GUI'ler, meşru araçlar ve bulut hizmetleri aracılığıyla, erişimi sürdürme ve tespit edilmekten kaçınma yaklaşımlarını iyileştiriyor ve bu da bölgesel ve küresel siber güvenlik çabaları için devam eden bir zorluğun sinyalini veriyor.
