APT34 Hacker Group, Algılama Ve Analizden Kaçınmak için Özel Hazırlanmış Araçlar Kullanıyor

Tehdit analistleri tarafından yapılan bir analiz, İran'ın Oilrig olarak da bilinen APT34 grubu tarafından işlenen ve özel hazırlanmış teknikler kullanarak Ürdünlü bir diplomatın bilgisayarını hacklemeye çalışan bilinmeyen bir siber saldırıyı ortaya çıkardı.

Gelişmiş anti-tespit ve anti-analiz teknikleri kullanan saldırının bazı özelliklerinde uzun ve dikkatli bir hazırlık belirgindi.

Bu yılın başlarında Fortinet araştırmacıları, APT34 tarafından kullanılan en son yöntem ve teknikleri vurgulamak amacıyla Mayıs 2022'deki APT34 saldırısından elde edilen kanıtları ve saldırıdan elde edilen eserleri derledi.

APT34 tarafından bu saldırıda kullanılan saldırı tekniklerine dayanarak yürütülen bir kampanya gibi görünüyor.

Kampanya profili

Aşağıda, kampanyanın net bir bakış açısına sahip olması için kampanya profilinden bahsettik:

• Etkilenen Platformlar: Microsoft Windows
• Etkilenen Kullanıcılar: Hedeflenen Windows kullanıcıları
• Etki: Güvenliği ihlal edilmiş makineden hassas bilgiler toplar
• Önem Düzeyi: Orta

Tehdit aktörleri diplomatları hedef aldı

Bir hükümet meslektaşının sahte e-posta adresini kullanan mızraklı kimlik avı e-postası, Ürdünlü bir diplomattan geliyormuş ve bu hükümet yetkilisinden geliyormuş gibi davranıyordu.

E-postaya, yürütüldükten sonra üç dosya oluşturacak makro kodu içeren kötü amaçlı bir Excel eki olan bir ek eklenmişti:

• Kötü amaçlı bir yürütülebilir dosya
• Bir yapılandırma dosyası
• İmzalı ve temiz bir DLL

Kötü amaçlı yürütülebilir dosyanın (update.exe) kalıcı kalması için makroya her dört saatte bir yinelenen zamanlanmış bir görev eklenir.

Kullanılan payload

Kötü amaçlı yürütülebilir dosyalar, durum denetimleri gerçekleştiren ve sekiz saat boyunca başlatıldıktan sonra kendilerini uyku moduna geçiren .NET ikili dosyalarıdır.

Bilgisayar korsanlarının bu gecikmeyi, diplomatın e-postayı görüntülemek için sabah uyanması beklentisiyle seçmesi muhtemeldir. E-postayı açtıktan sonra, diplomat bilgisayarı sekiz saat boyunca gözetimsiz bırakacaktı.

DGA'lar, kötü amaçlı yazılım etkin olduğunda C2'nin alt etki alanlarıyla iletişim kurmak için kullanılır. Bir etki alanındaki kötü amaçlı yazılım işlemleri, yaygın olarak kullanılan bir yöntem olan DGA'yı kullanırken yayından kaldırma ve engellemeye karşı daha dirençli olabilir.

Ardından, sağlanan IP adresinin bileşenle iletişim kurmasına izin vermek için bir DNS tüneli oluşturulur.

Bu tekniği kullanarak, tehdit aktörleri bu iletişim bağlamında değiş tokuş edilen verileri şifreleyebilir ve bu da ağ monitörlerinin olağandışı etkinlikleri algılamasını zorlaştırır.

Alan adları bu kampanyada şüpheli bir şekilde adlandırılmıştır ve açıkça kullanıcıları tanınmış ve güvenilir şirketler tarafından ele alındıklarını düşünmeleri için kandırmaya çalışmaktadır:

• AstraZeneca
• HSBC
• Cisco

Daha önce, İran İslam Cumhuriyeti hükümeti ile ilişkiliydi. APT34, gölgelerde çalışan ve onları takip etme konusunda geride çok fazla iz bırakmayan yetenekli bir tehdit aktörüdür.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.