İran Bağlantılı Nimbus Manticore Grubu, ABD Havacılık Sektörüne Saldırıyor: SEO Zehirlenmesi ve Phishing Linux

İran Bağlantılı Nimbus Manticore Grubu, ABD Havacılık Sektörüne Saldırıyor: SEO Zehirlenmesi ve Phishing

İran bağlantılı Nimbus Manticore grubu, ABD havacılık sektörünü hedef alan yeni bir kampanyada SEO zehirlenmesi ve kariyer temalı phishing kullanıyor.

İran devlet destekli siber saldırı grubu Nimbus Manticore, ABD havacılık sektörünü hedef alan yeni bir kampanyada hem kariyer temalı phishing hem de ilk kez arama motoru zehirlenmesi (SEO poisoning) kullanarak dikkat çekiyor. Check Point Research'ün yeni analizine göre, bu saldırılar Şubat ile Nisan 2026 arasında üç ayrı dalga halinde gerçekleşti ve ABD'nin 28 Şubat'ta başlattığı Epic Fury Operasyonu ile aynı döneme denk geldi. IRGC bağlantılı olduğu düşünülen bu grup, daha önce de savunma, havacılık ve telekomünikasyon sektörlerine yönelik kariyer temalı phishing saldırıları düzenlemişti. Son operasyonlarında ABD, Avrupa ve Orta Doğu'daki havacılık firmalarını ve yazılım sağlayıcılarını taklit ettiler.

Grubun en dikkat çekici taktik değişikliği, Nisan ayında sahte iş tekliflerini bırakarak Oracle'ın SQL Developer veritabanı aracını taklit eden bir indirme sayfası oluşturması oldu. Saldırganlar, sahte siteye yönlendiren düzinelerce alan adı kaydetti ve sayfaları arama anahtar kelimeleriyle doldurarak sıralamada yükselmeye çalıştı. Analiz sırasında, sitenin Bing ve DuckDuckGo'da ilgili yazılım aramalarında üst sıralarda yer aldığı görüldü. Bu, araştırmacıların grubun doğrudan phishing yerine arama motoru zehirlenmesi kullandığını ilk kez gözlemlemesi oldu.

Önceki dalgalarda daha tanıdık yöntemler kullanıldı: sahte toplantı davetiyeleri aracılığıyla dağıtılan trojanize Zoom yükleyicisi ve OnlyOffice platformunda barındırılan ZIP arşivleri. Kampanya boyunca, aktör AppDomain hijacking tekniğine başvurdu. Bu teknik, güvenilir bir .NET uygulamasının yanına tahrif edilmiş bir yapılandırma dosyası yerleştirerek kötü amaçlı bir DLL'nin yüklenmesini sağlıyor.

Kampanya ayrıca, Check Point'in MiniFast adını verdiği daha önce belgelenmemiş bir backdoor'u da ortaya çıkardı. Bu backdoor, grubun 2025 yılına kadar kullandığı MiniJunk ailesinin yerini aldı. MiniFast, 64-bit Windows DLL'si olarak çalışan, tam donanımlı bir implant. C2 sunucusuyla JSON üzerinden iletişim kurarken trafiğini Chrome tarayıcısı gibi gizliyor. Opcode tabanlı komut seti, kabuk yürütme, dosya aktarımı, süreç kontrolü ve zamanlanmış görev kalıcılığı gibi işlevleri kapsıyor.

Sonuç ve Değerlendirme

Check Point, hem yükleyicilerin hem de backdoor'un yapay zeka destekli geliştirme izleri taşıdığını değerlendiriyor. Kod içinde önemsiz işlevler etrafında aşırı hata yönetimi, ayrıntılı ve tekrarlayan adlandırma kalıpları ve hata ayıklama tarzı durum dizeleri bulunması bu izleri doğruluyor. Araştırmacılar, yapay zekanın grubun savaş baskısı altında bile hızlı araç geliştirme ve yüksek operasyonel tempo sürdürmesine yardımcı olduğunu belirtiyor.

Gelecekte Ne Bekleniyor?

Bu saldırılar, İran bağlantılı aktörlerin sürekli taktik yenilikleriyle siber güvenlik topluluğunu zorlamaya devam ettiğini gösteriyor. ABD havacılık sektörü gibi kritik altyapıları hedef alan bu tür kampanyalara karşı kuruluşların, yalnızca e-posta güvenliği değil, aynı zamanda arama motoru sonuçları ve yazılım indirme alışkanlıkları konusunda da farkındalığı artırması gerekiyor. Kullanıcıların resmi kaynaklardan indirme yapması, şüpheli bağlantılara tıklamaması ve çok faktörlü kimlik doğrulama gibi temel güvenlik önlemlerini uygulaması hayati önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: