İran Bağlantılı APT, Casusluk Kampanyasında Kaos Fidye Yazılımı Üyesi Olarak Gösterilmişti Yazılım

İran Bağlantılı APT, Casusluk Kampanyasında Kaos Fidye Yazılımı Üyesi Olarak Gösterilmişti

Rapid7, İran hükümetine bağlı bir APT grubunun, jeopolitik casusluk ve ön konumlandırma için makul bir inkar edilebilirlik sağlamak amacıyla Kaos fidy...

Rapid7, İran hükümetine bağlı bir APT grubunun, jeopolitik casusluk ve ön konumlandırma için makul bir inkar edilebilirlik sağlamak amacıyla Kaos fidye yazılımı üyesi gibi davrandığını iddia etti.

Güvenlik sağlayıcısı bu açıklamaları 6 Mayıs'ta yayınlanan Rayları Çamurlamak: Kaos Fidye Yazılımının Arkasındaki Devlet Destekli Gölge adlı yeni bir raporda yaptı.

Rapid7, 2026'nın başlarında meydana gelen bir saldırıyı, İran İstihbarat ve Güvenlik Bakanlığı'na bağlı MuddyWater (Seedworm, Static Kitten ve Mango Sandstorm olarak da bilinir) grubu tarafından yapılan yanıltma operasyonu olarak damgaladı.

Teknik Analiz

Kaos hakkında daha fazlasını okuyun: Yeni Kaos Fidye Yazılımı Ortaya Çıkıyor, Saldırı Dalgasını Başlatıyor.

Uzmanların Görüşleri

İsimsiz bir kuruluşta meydana gelen izinsiz giriş, bir çalışanın Microsoft Teams ekran paylaşımı yoluyla sosyal mühendislik yapmasıyla başladı.

Gelecekte Ne Bekleniyor?

Rapid7, "Saldırgan [TA], güvenliği ihlal edilmiş kullanıcılar aracılığıyla etkileşimli olarak çalışarak ilk keşif gerçekleştirdi, MFA manipülasyonu da dahil olmak üzere kimlik bilgilerini topladı ve hızlı bir şekilde dahili erişim için meşru hesapları kullanmaya geçiş yaptı" dedi.

"Bu noktadan sonra TA, ek yükler dağıtmadan ve ortamı daha fazla kontrol etmeden önce DWAgent ve AnyDesk gibi uzaktan erişim araçlarını kullanarak kalıcılık sağladı. Bunu takiben, TA, tehlikeye atılan ortamdan verileri sızdırdı ve ardından veri hırsızlığı iddiasında bulunarak ve fidye müzakerelerini başlatarak kurbanla e-posta aracılığıyla iletişime geçti."

Sistem Güvenliği

Gizleme İran Bağlantılarını Gizleyemez

Tehdit aktörü başarılı veri sızdırma iddiasında bulunsa da Kaos grubu "kör" bir geri sayım sayacı çalıştırıyor, bu da RaaS ekibinin veri sızıntısı sitesinde (DLS) kurban ayrıntılarının görüntülenemeyeceği anlamına geliyor.

Nasıl Önlem Alınmalı?

Aktör ayrıca kurban kuruluşun masaüstü dizinine güvenli bir sohbet için "erişim bilgileri" içeren bir not yerleştirdiğini iddia etti ancak Rapid7 bunu bulamadı.

Raporda şöyle devam edildi: "İlk uzlaşma kanıtındaki bu tutarsızlıklara rağmen, TA daha sonra çalınan verileri modern gasp taktiklerine uygun olarak DLS'sinde yayınladı."

Sızan verilerin meşru olduğu değerlendirilse de grup, finansal motivasyona sahip düzenli bir Kaos üyesinin yapması beklenen bir fidye yazılımı yükünü dağıtmadı.

Bu alışılmadık davranışın yanı sıra Rapid7, MuddyWater tarafından kullanılan önceki altyapıya yönelik çeşitli bağlantılar keşfetti:

Sonuç ve Değerlendirme

Kötü amaçlı yazılım örneklerini doğrulamak için kullanılan bir kod imzalama sertifikası (“Donald Gay”)

Komuta ve kontrol (C2) altyapısını destekleyen moonzonet[.]com alanı

Askıya alınan işlemlere kod eklemek için pythonw.exe kullanımı

Önemli Gelişmeler

MFA ve kimlik bilgilerini toplamak için etkileşimli Microsoft Teams oturumlarının kullanılması

RaaS gruplarının kimliğine bürünme konusunda MuddyWater'ın daha önceleri var. Rapid7, 2025'in sonlarında bunun İsrailli bir kuruluşu hedef alan bir saldırıda Qilin RaaS ekosistemini içeren faaliyetlerle bağlantılı olduğunu belirtti.

Rapor, atıf riskini daha da azaltmak için Kaos'a geçmiş olabileceğini iddia etti.

Detaylar ve Etkileri

Rapid7, "Bu bağlamda bir RaaS çerçevesinin kullanılması, aktörün devlet destekli faaliyetler ile mali amaçlı siber suçlar arasındaki ayrımları bulanıklaştırmasına ve dolayısıyla atıfları karmaşık hale getirmesine olanak sağlayabilir" dedi.

"Ayrıca, gasp ve müzakere unsurlarının dahil edilmesi, savunma çabalarının doğrudan etki üzerine odaklanmasına hizmet edebilir ve muhtemelen DWAgent veya AnyDesk gibi uzaktan erişim araçları aracılığıyla oluşturulan temel kalıcı mekanizmaların tanımlanmasını geciktirebilir."

Raporda, araştırmacılara verilecek dersin "açık fidye yazılımı göstergelerinin ötesine" bakmak ve izinsiz giriş yaşam döngüsünü yakından incelemek olduğu sonucuna varıldı.

"Sonuçta, bu faaliyet en iyi şekilde, fidye yazılımının nihai bir amaç olarak değil, daha geniş bir istihbarat odaklı kampanya kapsamında gizleme, zorlama ve operasyonel esneklik için bir mekanizma olarak kullanıldığı hibrit bir saldırı modeli olarak anlaşılır" dedi.

Paylaş: