Microsoft, bir grup İran destekli devlet bilgisayar korsanlarının, yeni arka kapı kötü amaçlı yazılımları zorlayan spearphishing saldırılarında Avrupa ve Amerika Birleşik Devletleri'ndeki araştırma organizasyonlarının ve üniversitelerinin yüksek profilli çalışanlarını hedeflediğini söylüyor.
İslam Devrim Guardor Kolordu (IRGC) ile bağlantılı kötü şöhretli APT35 İran siber başlık grubunun (büyüleyici yavru kedi ve fosfor olarak da bilinir) bir alt grubu olan saldırganlar, daha önce uzlaşmış hesaplar aracılığıyla özel olarak uygun ve tespit edilmesi zor kimlik avı e-postaları gönderdi.
"Kasım 2023'ten bu yana Microsoft, Belçika, Fransa, Gaza, İsrail, Birleşik Krallık ve Birleşik Devletler'deki üniversitelerde Orta Doğu işlerinde çalışan yüksek profilli bireyleri hedefleyen belirgin bir nane kum fırtınası (fosfor) gözlemledi. "Microsoft dedi.
"Bu kampanyada, Mint Sandstorm, hedefleri kötü amaçlı dosyalar indirmeye sosyal olarak mühendislik yapmak için ısmarlama kimlik avı kullandı. Microsoft, Medipl adı verilen yeni, özel bir arka kapının kullanımı da dahil olmak üzere yeni yürütme sonrası tradecraft gözlemledi."
MediaPL kötü amaçlı yazılım, komut ve kontrol (C2) sunucusuyla bilgi alışverişi yapmak için şifreli iletişim kanallarını kullanır ve algılamadan kaçınmak için Windows Media Player olarak maskelenecek şekilde tasarlanmıştır.
MediaPL ve C2 sunucusu arasındaki iletişim AES CBC şifrelemesi ve Base64 kodlaması kullanır ve tehlikeye atılan cihazlarda keşfedilen varyant, _popen işlevini kullanarak otomatik olarak sona erme, geçici olarak durma, yeniden deneme ve C2 komutlarını yürütme yeteneği ile birlikte gelir.
Mischieftut olarak bilinen ikinci bir PowerShell tabanlı arka kapı kötü amaçlı yazılım, ek kötü amaçlı araçların düşmesine yardımcı olur ve keşif yetenekleri sağlar, tehdit aktörlerinin saldırıya uğramış sistemlerde komutları çalıştırmasına ve çıktıyı saldırgan kontrollü sunuculara göndermesine izin verir.
Bu APT35 altkümesi, yüksek değerli hedeflerin ihlal edilen sistemlerinden hassas verilere saldırmaya ve çalmaya odaklanmaktadır. Daha önce araştırmacıları, profesörleri, gazetecileri ve diğer bireyleri İran çıkarlarıyla uyumlu güvenlik ve politika konuları bilgisi olan hedefliyor.
Microsoft, "İstihbarat ve politika topluluklarını etkileme potansiyeline sahip olan veya bunlarla birlikte çalışan bu bireyler, İran İslam Cumhuriyeti gibi faaliyetlerine sponsor olan devletler için istihbarat toplamak isteyen rakipler için cazip hedeflerdir." Dedi.
Diyerek şöyle devam etti: "Bu kampanyada gözlenen hedeflerin kimliklerine ve İsrail-Hamas Savaşı ile ilgili cazibelerin kullanımına dayanarak, bu kampanya ideolojik spektrumdaki bireylerden savaşla ilgili olaylar hakkında perspektifler toplama girişimidir."
Mart 2021 ve Haziran 2022 arasında APT35, daha önce bilinmeyen sponsor kötü amaçlı en az 34 şirketin, hükümet ve sağlık kuruluşlarını hedefleyen bir kampanyada ve finansal hizmetler, mühendislik, imalat, teknoloji, hukuk, telekomünikasyon ve diğer sektördeki firmalarda geri döndü. sektörler.
İran hackleme grubu, MacOS Systems'a yönelik saldırılarda daha önce hiç görülmemiş Noknok kötü amaçlı yazılımları kullandı, ödün verilen MAC'lerden verileri toplamak, şifrelemek ve dışarı atmak için tasarlanmış başka bir arka kapı.
Başka bir İran tehdit grubu, APT33 (diğer adıyla rafine yavru kedi veya holmium) olarak izlendi. Şubat 2023'ten bu yana dünya çapında binlerce orgs'u hedefleyen kapsamlı şifre sprey saldırılarında savunma organizasyonlarını ihlal etti ve yakın zamanda yeni yanlış yazılımlarla savunma müteahhitlerini ihlal etmeye çalıştı.
İranlı Hackerlar Backdoor 34 Orgs ile Yeni Sponsor Kötü Yazılım
Büyüleyici kedi hackerları macOS için yeni 'Noknok' kötü amaçlı yazılım kullanıyor
Microsoft: Bilgisayar korsanları yeni yanlış yazılımlarla savunma firmalarını hedeflemek
Bilgisayar korsanları, ABD hedeflerini geri kapatmak için yeni ajan rakun kötü amaçlı yazılım kullanıyor
Hamas Hacker'larına bağlı yeni Rust tabanlı Sysjoker arka kapı
Kaynak: Bleeping Computer