İran Siber Casusluk Grubu Orta Doğu'daki Finans ve Devlet Sektörlerini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

İran Siber Casusluk Grubu Orta Doğu'daki Finans ve Devlet Sektörlerini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri


İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı bir tehdit aktörünün, en az bir yıldır Orta Doğu’daki finans, hükümet, askeri ve telekomünikasyon sektörlerini hedef alan karmaşık bir siber casusluk kampanyası yürüttüğü gözlemlendi

“Bu yaklaşım, genellikle güvenlik çözümleri tarafından yakından izlenen IIS veya HTTP API’yi içermediğinden daha gizlidir ancak HTTP “

LIONTAIL ile birlikte ayrıca çeşitli web kabukları ve bir web iletici olan LIONHEAD adı verilen bir web iletici aracı da bulunmaktadır

Kampanyayı Sygnia ile birlikte keşfeden İsrailli siber güvenlik firması Check Point, aktörü bu isim altında takip ediyor Yaralı MantikorGeçen yıl Arnavutluk hükümetine yönelik yıkıcı saldırılarla bağlantılı dört İranlı gruptan biri olan Storm-0861 adlı yeni ortaya çıkan kümeyle yakından örtüştüğü söyleniyor

Check Point araştırmacıları “Scarred Manticore, Windows sunucularına saldırmak için çeşitli IIS tabanlı arka kapılar kullanarak yıllardır yüksek değerli hedeflerin peşinde koşuyor

Tehdit aktörünün 2020 ortasından bu yana sys, saldırının bir sonraki aşamasını yürütmek için bir yükleyici görevi görür ve uygun bir kullanıcı modu işlemine gömülü bir kabuk kodu enjekte eder ve bu da, özellikle Microsoft Internet Information Services’ı hedeflemek için tasarlanmış şifrelenmiş bir

Araştırmacılar, komuta ve kontrol (C2) mekanizmasını detaylandırarak, “Kötü amaçlı yazılım, HTTP API’sini kullanmak yerine, temeldeki HTTP Çerçevenin dikkate değer bir bileşeni, saldırganların HTTP istekleri aracılığıyla komutları uzaktan yürütmesine olanak tanıyan, C dilinde yazılmış hafif ancak gelişmiş bir implanttır

Scarred Manticore’un tarihsel faaliyeti, grubun kötü amaçlı yazılım cephaneliğinin sürekli bir evrim geçirdiğini gösteriyor; tehdit aktörü daha önce aşağıdaki gibi web kabuklarına güveniyordu: Ton balığı ve arka kapı erişimi için FOXSHELL adı verilen özel bir versiyon “Bunlar çeşitli özel web kabuklarını, özel DLL arka kapılarını ve sürücü tabanlı implantları içerir Bunun en iyi örneği, Scarred Manticore’un bu Mayıs ayı başlarında Fortinet tarafından ortaya çıkarılan WINTAPIX adlı kötü amaçlı bir çekirdek sürücüsünü kullanmasıdır ” söz konusu Salı günü yapılan bir analizde

Tehdit aktörünün taktikleri ve araçlarına yönelik aşamalı güncellemeler, gelişmiş kalıcı tehdit (APT) gruplarının tipik bir örneğidir ve onların kaynaklarını ve çeşitli becerilerini gösterir

Özetle, WinTapix ” dedi

Düşman ile Cisco Talos’un ShroudedSnooper kod adlı izinsiz giriş seti arasında başka bir taktiksel örtüşme seti keşfedildi Tehdit aktörünün en az 2019’dan beri aktif olduğuna inanılıyor sys için IOCTL’lerin belgelenmemiş olması ve tehdit aktörleri tarafından ek araştırma çabaları gerektirmesi göz önüne alındığında basit bir görev değildir Tehdit aktörü tarafından düzenlenen saldırı zincirleri, Orta Doğu’daki telekomünikasyon sağlayıcılarını HTTPSnoop olarak bilinen gizli bir arka kapı kullanarak belirledi sys sürücüsüyle doğrudan etkileşim kurmak için IOCTL’leri kullanıyor

Check Point, “LIONTAIL çerçeve bileşenlerinin FOXSHELL, SDD arka kapısı ve WINTAPIX sürücüleriyle benzer gizleme ve dizi yapılarını paylaştığını” söyledi

İsrail’in hedef alınması tam da bu noktada ortaya çıkıyor Devam eden İsrail-Hamas savaşıBu, düşük düzeyde bilgi birikimine sahip hacktivist grupları ülkedeki çeşitli kuruluşların yanı sıra Hindistan ve Kenya gibi ülkelere saldırmaya teşvik ederek, ulus devlet aktörlerinin çatışmanın küresel algısını etkilemeyi amaçlayan bilgi operasyonlarına güvendiklerini gösteriyor

Operasyonun kurbanları Suudi Arabistan, Birleşik Arap Emirlikleri, Ürdün, Kuveyt, Umman, Irak ve İsrail gibi çeşitli ülkeleri kapsıyor

Scarred Manticore tarafından temsil edilen etkinlik, Windows sunucularına yüklenen ve LIONTAIL olarak adlandırılan, önceden bilinmeyen bir pasif kötü amaçlı yazılım çerçevesinin kullanılmasıyla karakterize edilir NET yükünü yürütür ( IIS) sunucuları

Scarred Manticore ayrıca, yakın zamanda sekiz ay süren bir kampanyanın parçası olarak Şubat ve Eylül 2023 arasında isimsiz bir Orta Doğu hükümetine düzenlenen saldırıya atfedilen başka bir İran ulus devleti ekibi olan OilRig ile bir dereceye kadar örtüşme gösteriyor SDD Bu, rastgele komutların yürütülmesi, dosyaların yüklenmesi ve indirilmesi ve ek ”



siber-2

“Faaliyetlerinin geçmişi incelendiğinde, tehdit aktörünün saldırılarını iyileştirme ve pasif implantlara dayanan yaklaşımlarını geliştirme konusunda ne kadar ileri gittiği açıkça görülüyor

Saldırı dizileri, kötü amaçlı yazılım dağıtım sürecini başlatmak ve virüslü ana bilgisayarlardan hassas verileri sistematik olarak toplamak için halka açık Windows sunucularına sızmayı gerektirir ”

Gelişmiş bir kötü amaçlı yazılım parçası olan LIONTAIL, özel kabuk kodu yükleyicileri ve bellekte yerleşik kabuk kodu yüklerinden oluşan bir koleksiyondur NET derlemelerinin çalıştırılması nihai hedefiyle, virüs bulaşmış makinedeki bir HTTP dinleyicisi aracılığıyla C2 iletişimi kurar NET tabanlı pasif bir arka kapı kullandığı da söyleniyor