İran Bağlantılı Bilgisayar Korsanları ABD Havacılık Sektörünü Hedef Aldı: Phishing ve SEO Zehirleme Kampanyası Yazılım

İran Bağlantılı Bilgisayar Korsanları ABD Havacılık Sektörünü Hedef Aldı: Phishing ve SEO Zehirleme Kampanyası

İran bağlantılı Nimbus Manticore grubu, ABD havacılık sektörünü hedef alan phishing ve SEO zehirleme kampanyasıyla MiniFast backdoor'unu yaydı.

İran devletiyle bağlantılı bilgisayar korsanları, ABD-İran askeri çatışması sırasında Amerikan havacılık sektörünü hedef alan yeni bir siber saldırı kampanyası başlattı. Check Point Research'in analizine göre, Nimbus Manticore olarak bilinen grup, Şubat ve Nisan 2026 arasında üç dalga halinde faaliyet gösterdi. Bu dönem, ABD'nin 28 Şubat'ta başlattığı Epic Fury Operasyonu ile aynı zamana denk geldi. Grup, geçmişte savunma, havacılık ve telekomünikasyon sektörlerine yönelik kariyer temalı phishing saldırılarıyla tanınıyordu.

En dikkat çekici değişiklik Nisan ayında yaşandı. Grup, alışılagelmiş sahte iş ilanlarını bırakarak Oracle'ın SQL Developer aracını taklit eden bir indirme sayfası oluşturdu. Saldırganlar, düzinelerce alan adı kaydederek sahte siteye yönlendirme yaptı ve sayfaları arama motorlarında üst sıralara çıkmak için anahtar kelimelerle doldurdu. Analiz sırasında site, Bing ve DuckDuckGo'da ilgili yazılım aramalarında üst sıralarda yer alıyordu. Araştırmacılar, grubun ilk kez doğrudan phishing yerine arama motoru zehirleme (SEO poisoning) kullandığını gözlemledi.

Önceki dalgalarda ise daha tanıdık yöntemler kullanıldı. Sahte Zoom yükleyicisi, sahte toplantı davetiyeleri ve OnlyOffice platformunda barındırılan ZIP arşivleri aracılığıyla dağıtıldı. Kampanya boyunca grup, güvenilir bir .NET uygulamasının yanına değiştirilmiş bir yapılandırma dosyası yerleştirerek kötü amaçlı DLL yükleyen AppDomain ele geçirme tekniğini kullandı. Ayrıca, 2025 boyunca kullanılan MiniJunk ailesinin yerini alan MiniFast adlı yeni bir backdoor tespit edildi.

Gelecekte Ne Bekleniyor?

MiniFast, 64-bit Windows DLL olarak çalışan ve C2 sunucusuyla JSON üzerinden iletişim kuran, trafiğini Chrome tarayıcı gibi gizleyen tam donanımlı bir implanttır. Opcode tabanlı komut seti; kabuk çalıştırma, dosya transferi, süreç kontrolü ve zamanlanmış görev kalıcılığı gibi işlevleri içeriyor. Check Point, hem yükleyicilerin hem de backdoor'un AI destekli geliştirme izleri taşıdığını, önemsiz işlevlerde aşırı hata yönetimi, tekrarlayan isimlendirme ve hata ayıklama metinleri gibi özelliklerin bu durumu doğruladığını belirtti. Araştırmacılar, bu yöntemin grubun savaş baskısı altında bile hızlı araç geliştirmesine ve yüksek operasyon temposunu sürdürmesine yardımcı olduğunu düşünüyor.

Paylaş: