İran devlet destekli bilgisayar korsanları, ABD havacılık sektörüne yönelik siber saldırılarında yeni bir taktik kullanmaya başladı. Check Point Research tarafından yapılan analize göre, IRGC bağlantılı Nimbus Manticore (UNC1549 olarak da bilinir) grubu, Şubat-Nisan 2026 arasında üç dalga halinde düzenlediği operasyonlarla dikkat çekiyor. Bu saldırılar, ABD'nin 28 Şubat'ta başlattığı Epic Fury askeri harekatı ile aynı döneme denk geliyor. Grup, daha önce savunma, havacılık ve telekomünikasyon sektörlerine yönelik kariyer temalı oltalama saldırılarıyla tanınıyordu.
Saldırganların en dikkat çekici taktik değişikliği, Nisan ayında Oracle'ın SQL Developer veritabanı aracını taklit eden sahte bir indirme sayfası oluşturmaları oldu. Gerçek bir iş ilanı tuzağı yerine, arama motoru zehirleme (SEO poisoning) yöntemini kullanan grup, onlarca alan adı kaydettirerek bu sahte siteyi arama sonuçlarında üst sıralara taşıdı. Analiz sırasında sitenin Bing ve DuckDuckGo'da, Oracle SQL Developer aramalarında üst sıralarda yer aldığı tespit edildi. Bu, grubun doğrudan oltalama yerine arama motoru zehirleme kullandığı ilk vaka oldu.
Önceki saldırı dalgalarında ise daha bilinen yöntemler kullanıldı. Şubat ayında, sahte toplantı davetiyeleri aracılığıyla dağıtılan truva atı bulaştırılmış bir Zoom yükleyicisi ve OnlyOffice platformunda barındırılan ZIP arşivleri kullanıldı. Bu yöntemler, grubun hedeflerine ulaşmak için sürekli olarak uyum sağladığını gösteriyor.
Tüm kampanya boyunca, Nimbus Manticore AppDomain hijacking tekniğini kullandı. Bu teknik, güvenilir bir .NET uygulamasının yanına değiştirilmiş bir yapılandırma dosyası yerleştirerek uygulamanın kötü amaçlı bir DLL yüklemesini sağlıyor. Bu yöntem, güvenlik yazılımlarını atlatmak için oldukça etkili bir yol olarak biliniyor.
Kampanya kapsamında ayrıca daha önce belgelenmemiş bir backdoor keşfedildi. Check Point tarafından MiniFast olarak adlandırılan bu 64-bit Windows DLL, tam özellikli bir implant olarak çalışıyor. Komuta ve kontrol (C2) sunucusuyla JSON üzerinden haberleşirken trafiğini Chrome tarayıcı gibi gizliyor. MiniFast, shell yürütme, dosya transferi, süreç kontrolü ve zamanlanmış görev kalıcılığı gibi komutları destekliyor. Bu backdoor, grubun 2025'e kadar kullandığı MiniJunk ailesinin yerini alıyor.
Nasıl Önlem Alınmalı?
Check Point araştırmacıları, MiniFast'in yükleyicilerinde ve backdoor'un kendisinde yapay zeka destekli geliştirme izleri tespit etti. Kodda, önemsiz işlevlerde aşırı hata yönetimi, ayrıntılı ve tekrarlayan adlandırma düzenleri ve kod boyunca dağılmış hata ayıklama stili durum dizeleri bulundu. Araştırmacılar, bunun grubun yoğun operasyonel tempo altında hızlı araç geliştirmesine yardımcı olduğunu değerlendiriyor.
Bu saldırılar, İran bağlantılı tehdit aktörlerinin sürekli olarak yeni taktikler geliştirdiğini ve ABD havacılık sektörü gibi kritik altyapıları hedef almaya devam ettiğini gösteriyor. Şirketlerin, özellikle arama motoru zehirleme ve sahte iş ilanlarına karşı dikkatli olmaları, güvenlik yazılımlarını güncel tutmaları ve çalışanlarını siber güvenlik konusunda eğitmeleri büyük önem taşıyor.
Kaynak: infosecurity-magazine.com