Tehdit analistleri, özel hazırlanmış araçlarla Ürdünlü bir diplomatı hedefleyen APT34 Grubu veya Oilrig olarak bilinen İran hackleme grubuna atfedilen yeni bir saldırı tespit ettiler.
Saldırı, gelişmiş anti-tespit ve anti-analiz tekniklerini içeriyordu ve uzun ve dikkatli bir şekilde hazırlanmayı gösteren bazı özelliklere sahipti.
Fortinet'teki güvenlik araştırmacıları, Mayıs 2022'deki saldırıdan kanıt ve eserler topladılar ve APT34'ün en son teknik ve yöntemlerini vurgulamak için bir teknik rapor hazırladılar.
Fortinet tarafından görülen mızrak aktı e-postası, hükümetteki bir meslektaşından gibi davranan bir Ürdün diplomatını hedef aldı ve e-posta adresi buna göre sahte oldu.
E -posta, üç dosya oluşturmak için yürütülen VBA makro kodu, kötü amaçlı yürütülebilir, bir yapılandırma dosyası ve imzalı ve temiz bir DLL içeren kötü niyetli bir Excel eki taşıdı.
Makro ayrıca her dört saatte bir tekrarlayan planlanmış bir görev ekleyerek kötü amaçlı yürütülebilir (update.exe) için kalıcılık yaratır.
Fortinet’in analistleri, “Excel imzalı bir ikili olduğundan, bu şekilde kalıcılığı korumak bazı davranışsal tespit motorları tarafından kaçırılabilir” dedi.
Başka bir alışılmadık bulgu, makroda uygulanan iki anti-analiz mekanizması ile ilgilidir: e-tabloda tabaka görünürlüğünün değişmesi ve diğer bir farenin varlığı için bir kontrol, kötü amaçlı yazılım analizi sanal alan hizmetlerinde bulunmayan bir kontrol.
Kötü niyetli yürütülebilir, programları kontrol eden ve piyasaya sürüldükten sonra sekiz saat uykuya dalan bir .NET ikilidir. Analistler, bilgisayar korsanlarının muhtemelen bu gecikmeyi diplomatın sabahları e -postayı açacağı ve bilgisayarın gözetimsiz olması için sekiz saat sonra ayrılacağı varsayımı üzerine belirlediklerine inanıyorlar.
Etkin olduğunda, kötü amaçlı yazılım bir Etki Alanı Üretimi Algoritması (DGA) aracı kullanarak C2 alt alanlarıyla iletişim kurar. DGA, kötü amaçlı yazılım işlemlerini etki alanı yayından kaldırma ve blok listelemeye daha dayanıklı hale getiren yaygın olarak kullanılan bir tekniktir.
Daha sonra sağlanan IP adresi ile iletişim kurmak için bir DNS tüneli kurar. Bu, tehdit aktörlerinin bu iletişim bağlamında değiştirilen verileri şifrelemesine yardımcı olan nadiren görülen bir tekniktir ve ağ monitörlerinin şüpheli bir şey yakalamasını zorlaştırır.
Kampanyada kullanılan alanların bazıları şüpheyle adlandırılmıştır, açıkça AstraZeneca, HSBC ve Cisco gibi tanınmış ve güvenilir varlıklar kadar maskelenmeye çalışır.
Ardından, C2, PowerShell veya Windows CMD tercümanı aracılığıyla yürütülen kötü amaçlı yazılımlara yirmi iki farklı arka kapı komutu gönderir.
Son olarak, çalınan verilerin eksfiltrasyonu DNS yoluyla yapılır, veriler isteğe gömülür ve ağ günlüklerinde standart görünmesini sağlar.
APT34 daha önce İran hükümetiyle bağlantılıdır ve gölgelerde çalışan ve geride birçok iz bırakmayan yetenekli bir tehdit aktörüdür.
Bu nedenle, Fortinet’in raporu, yayınlanmış uzlaşma göstergelerini not alması gereken araştırmacılar ve savunucular için değerlidir.
Acı siberler yeni kötü amaçlı yazılımlarla Güney Asya Hükümetlerini hedeflemek
Bilgisayar korsanları Rus TV'de “Kan Elinizde” sergiliyor, Rutube'u Down Rutube
Çin Siber-İzin Grubu Moshen Dragon Hedefleri Asya Telcos
ABD Linkleri Muddywater Hacking Group'a İran İstihbarat Ajansı
Bir siber saldırı nedeniyle araba kiralama devi altıt ile karşılaşan kesintilerle karşı karşıya
Kaynak: Bleeping Computer