Tickler Malware
İran devlet destekli bir tehdit aktörü, ABD ve Birleşik Arap Emirlikleri'ndeki kuruluşları hedef alan saldırılarda yeni geliştirilen özel bir arka kapı kullanıyor. Peach Sandstorm ve Refined Kitten olarak da bilinen APT33 adlı bilgisayar korsanı grubu, hükümet, savunma, uydu, petrol ve gaz sektörlerindeki kuruluşların ağlarını tehlikeye atmak için daha önce bilinmeyen ve şimdi Tickler olarak izlenen kötü amaçlı yazılımları dağıttı. Araştırmacılara göre, İran İslam Devrim Muhafızları Kolordusu (IRGC) altında faaliyet gösteren bu grup, kötü amaçlı yazılımı Nisan ve Temmuz 2024 arasında bir istihbarat toplama kampanyasında kullandı. Bu saldırılar sırasında, bilgisayar korsanları, şirket tarafından o zamandan beri bozulan sahte Azure aboneliklerine güvenerek Komuta ve Kontrol (C2) operasyonları için Microsoft Azure altyapısını kullandı.
İçindekiler
Saldırı Operasyonunun Hedef Aldığı Kritik Sektörler
Nisan ve Mayıs 2024 arasında APT33, başarılı parola püskürtme saldırıları aracılığıyla savunma, uzay, eğitim ve hükümet sektörlerindeki kuruluşları hedef aldı. Bu saldırılar, hesap kilitlenmelerini tetiklememek için sınırlı sayıda yaygın olarak kullanılan parola kullanılarak birden fazla hesaba erişmeye çalışmayı içeriyordu.
Şifre püskürtme etkinliği çeşitli sektörlerde gözlemlenmiş olsa da araştırmacılar, Peach Sandstorm'un operasyonel altyapılarını kurmak için özellikle eğitim sektöründeki tehlikeye atılmış kullanıcı hesaplarını kullandığını belirtti. Tehdit aktörleri, altyapılarını barındırmak için mevcut Azure aboneliklerine eriştiler veya tehlikeye atılmış hesapları kullanarak yeni abonelikler oluşturdular. Bu Azure altyapısı daha sonra hükümet, savunma ve uzay sektörlerini hedef alan diğer operasyonlarda kullanıldı.
Peach Sandstorm, son bir yıldır özel olarak geliştirilen araçları kullanarak bu sektörlerdeki birçok organizasyona başarıyla sızdı.
Tickler Kötü Amaçlı Yazılımı Ek Kötü Amaçlı Yazılım Tehditleri İçin Sahneyi Hazırlıyor
Tickler, saldırganların tehlikeye atılmış sistemlere ek kötü amaçlı yazılımlar yüklemesine olanak tanıyan özel, çok aşamalı bir arka kapı olarak tanımlanıyor. Microsoft'a göre, Tickler'a bağlı kötü amaçlı yükler sistem bilgilerini toplayabilir, komutları yürütebilir, dosyaları silebilir ve bir Komuta ve Kontrol (C&C) sunucusuna dosya indirebilir veya yükleyebilir.
Önceki APT33 Siber Suç Kampanyaları
Kasım 2023'te İran tehdit grubu, küresel olarak savunma yüklenicilerinin ağlarına sızmak için benzer bir taktik kullandı ve FalseFont arka kapı kötü amaçlı yazılımını dağıttı. Birkaç ay önce araştırmacılar, Şubat 2023'ten bu yana kapsamlı parola püskürtme saldırılarıyla dünya çapında binlerce kuruluşu hedef alan ve savunma, uydu ve ilaç sektörlerinde ihlallere yol açan başka bir APT33 kampanyası hakkında bir uyarı yayınlamıştı.
Kimlik avı ve hesap ele geçirme saldırılarına karşı güvenliği artırmak amacıyla Microsoft, 15 Ekim'den itibaren tüm Azure oturum açma girişimleri için çok faktörlü kimlik doğrulamanın (MFA) zorunlu hale geleceğini duyurdu.
Arka Kapı Kötü Amaçlı Yazılımı Mağdurlar İçin Ciddi Sonuçlara Yol Açabilir
Bir arka kapı kötü amaçlı yazılımı, tehlikeye atılmış sistemlere yetkisiz erişim sağlayarak hem bireysel kullanıcılar hem de kuruluşlar için önemli riskler oluşturur. Kurulduktan sonra, arka kapı kötü amaçlı yazılımı, saldırganların geleneksel güvenlik önlemlerini atlatmasına ve kurbanın ağı üzerinde kontrol elde etmesine olanak tanıyan gizli giriş noktaları oluşturur. Bu yüksek erişim, bir dizi ciddi sonuca yol açabilir.
Öncelikle, arka kapı kötü amaçlı yazılımları saldırganların kişisel veriler, finansal kayıtlar ve fikri mülkiyet gibi hassas bilgileri toplamasını sağlar. Toplanan bu veriler kimlik hırsızlığı, finansal dolandırıcılık veya kurumsal casusluk için kullanılabilir. Ek olarak, kötü amaçlı yazılım, kritik dosyaları şifreleyebilen ve serbest bırakılmaları için fidye talep edebilen fidye yazılımları da dahil olmak üzere ek kötü amaçlı yazılımların yüklenmesini sağlayarak daha fazla saldırıyı kolaylaştırabilir.
İkinci olarak, arka kapı kötü amaçlı yazılımları sistem bütünlüğünü tehlikeye atabilir ve operasyonları aksatabilir. Saldırganlar önemli dosyaları manipüle edebilir veya silebilir, sistem yapılandırmalarına müdahale edebilir ve güvenlik araçlarını devre dışı bırakarak operasyonel kesintilere ve önemli mali kayıplara yol açabilir. Bu kesinti, sistem kesintilerinin kamu güvenliğini ve hizmetlerini etkileyebileceği sağlık, finans ve enerji gibi kritik altyapı sektörleri için özellikle zararlı olabilir.
Ayrıca, arka kapı kötü amaçlı yazılımları genellikle gizli gözetim ve casusluğu kolaylaştırır. Saldırganlar, kullanıcı aktivitelerini izleyebilir, tuş vuruşlarını yakalayabilir ve kurbanın bilgisi olmadan web kamerası yayınlarına erişebilir, bu da gizlilik ve gizli bilgilerin ihlal edilmesine yol açar.
Özetle, bir arka kapı kötü amaçlı yazılımı, veri güvenliğini, operasyonel bütünlüğü ve gizliliği baltalayarak ciddi riskler sunar. Kalıcı, yetkisiz erişim sağlama yeteneği, etkisini azaltmak için sağlam güvenlik önlemleri ve dikkatli izleme gerektiren güçlü bir tehdit haline getirir.