Check Point'in raporuna göre, İran bağlantılı bir gelişmiş kalıcı tehdit (APT) aktörü, İsrail'deki kuruluşları hedef alan son saldırılarda modüler bir komuta ve kontrol (C&C) çerçevesi kullanıyor.
Cavern Manticore olarak takip edilen APT, devlet kurumlarına ve BT sağlayıcılarına odaklanıyor ve İran'ın MOIS (İstihbarat ve Güvenlik Bakanlığı) ile bağlantılı görünüyor ve OilRig alt grubu Lyceum (Hexane ve SiameseKitten olarak da bilinir) ile olası bağları var.
Cavern Manticore'un C&C çerçevesi, .NET kullanılarak oluşturulmuş, bileşenler arasında çeşitli derleme formatlarının kullanıldığı ve anti-analiz katmanı olarak kullanılan uyarlanabilir bir araç seti içerir.
Sistem Güvenliği
Check Point, "Bu geleneksel anlamda bir karartma değil; çerçevenin herhangi bir yerinde paketleyici, kontrol akışı düzleştirme ve dize şifreleme yok. Bunun yerine derleme formatının kendisi anti-analiz katmanı haline geliyor, çünkü üç formatın her biri farklı bir araç zinciri ve farklı bir iş akışıyla tersine çevrilmek zorunda ve analist bileşenler arasında bunlar arasında bağlam geçişi yapmak zorunda kalıyor," diye belirtiyor Check Point.
Sonuç ve Değerlendirme
Bileşenler, temel iletişim işlevselliğini uzlaşma sonrası yeteneklerden ayıran aracılar ve modüller olarak kullanılır ve saldırganların kurban başına dağıtımları özelleştirmesine ve güvenliği ihlal edilmiş ortamlara erişimlerini genişletmesine olanak tanır.
Detaylar ve Etkileri
Bulaşma zinciri, SysAid'in yazılım güncelleme özelliğinin bir WinDirStat DLL dosyasını dışarıdan yüklemek için kötüye kullanılmasıyla başlar ve bu da Cavern aracısının yürütülmesine yol açar.
Reklamcılık. Okumaya devam etmek için kaydırın.
Teknik Analiz
Komuta ve kontrol (C&C) iletişimi kurulduktan sonra aracı, operatörden alınan komutlara göre ek modüller getirir.
Özel modüller dosya işlemlerini, veritabanı numaralandırmasını ve manipülasyonunu, LDAP kaba kuvvetini, ağ keşfini ve SMB kaba kuvvetini ve SOCKS5 proxy ve WebSocket/WSS tünellemeyi destekler. Aracı hem yönetilen hem de yerel modülleri kullanır.
Aracı, her bir modülü, modül kaldırıldıktan sonra sonlandırılan özel AppDomain'e yalıtır ve analiz edilebilir derleme yapıtlarını ortadan kaldırmak için bunları bellekten kaldırır. Ayrıca aracı, iletişim modülü, yapılandırma dosyası ve günlük dosyaları dışında çalışma dizinindeki tüm dosyaları ve alt dizinleri siler.
Nasıl Önlem Alınmalı?
Check Point'e göre, Cavern çerçevesi muhtemelen bir yapay zeka modeli kullanılarak oluşturuldu, ancak kod yorumları ve yazım hatalarının yanı sıra özenle seçilmiş isimler ve modüller arasındaki çeşitli tutarsızlıklar, bir insanın geliştirme sürecine önemli ve önemli ölçüde dahil olduğunu gösteriyor.
İsrail hedeflerine yönelik gözlemlenen izinsiz girişlerin bir parçası olarak APT, mağdurlar arasındaki yanal hareket için uzaktan izleme ve yönetim (RMM) çözümlerini kullandı. Ayrıca kurbanların ortamlarına ve veri sızdırma amacıyla uzaktan yazdırma gibi yerleşik özelliklere erişmek için tarayıcı tabanlı uzak masaüstü teknolojilerini de kullandı.
Check Point, "Son kampanyalar, tehdit aktörünün İsrail'in siber ekosistemi içindeki karmaşık BT tedarikçi zincirleri hakkında güçlü bir anlayışa sahip olduğunu gösteriyor. Bazı durumlarda, aktörün başlangıçta güvenliği ihlal edilmiş bir BT sağlayıcısından, nihai olarak amaçlanan hedef kuruluşa ulaşmadan önce ikinci atlama sağlayıcısına geçtiğine dair kanıtlar gözlemledik" diye belirtiyor.
Gelecekte Ne Bekleniyor?
İlgili: Cal Water, İran'ın Handala Siber Saldırısında Hiçbir OT Sisteminin İhlal Edilmediğini Söyledi
İlgili: LA Metro Siber Saldırısı İran Devlet Destekli Hackerlarla Bağlantılı
Uzmanların Görüşleri
İlgili: İran APT Güncellenmiş Araçlarla Havacılık ve Yazılım Şirketlerini Hedefliyor
Önemli Gelişmeler
İlgili: İran APT Saldırısı Kaos Fidye Yazılımı Saldırısı Kılığına Girdi