İran bağlantılı OilRig grubunun, İsrailli kurbanlarının kimlik bilgilerini toplamak için yeni kötü amaçlı yazılım yolladığını ortaya çıktı.

Haberin Devamı

Haberin Devamı

Haberin Devamı

Haberin Devamı

APT34, Lyceum veya Siamesekitten olarak da bilinen OilRig, en az 2014’ten beri aktif olan ve genel olarak İran merkezli olduğu düşünülen bir siber casusluk grubu. Grup, Orta Doğu hükümetlerini; kimya, enerji, finans ve telekomünikasyon dahil olmak üzere çeşitli sektörleri hedef alıyor.

Güvenlik araştırmacıları İran bağlantılı OilRig APT (Gelişmiş Kalıcı Tehdit) grubunun iki saldırısını inceledi. 2021’den Outer Space ve 2022’den Juicy Mix.

Bu siber casusluk saldırılarının her ikisi de özellikle İsrailli kuruluşları hedef alıyordu.

Bu hedef, grubun Orta Doğu’ya odaklandığını doğrular nitelikteydi ve her ikisi de aynı yöntemleri kullanıyordu. OilRig, önce bir C&C sunucusu olarak kullanmak üzere yasal bir web sitesinin güvenliği ihlal etti ve daha sonra kurbanlarına belgelenmemiş arka kapılar sunarken, aynı zamanda çoğunlukla hedef sistemlerden veri sızdırma için kullanılan güvenlik ihlali sonrası araçları da dağıttı.

Özellikle, Windows Kimlik Bilgisi Yöneticisi’nden ve başlıca tarayıcılardan, kimlik bilgilerinden, çerezlerden ve göz atma geçmişinden kimlik bilgileri toplamak için kullanıldılar.

Haberin Devamı

Haberin Devamı

Haberin Devamı

Haberin Devamı

Tehdit aktörleri, Juicy Mix saldırısı için Solar’ı geliştirerek ek yeteneklere ve gizleme yöntemlerine sahip Mango arka kapısını oluşturdu. Her iki arka kapı da muhtemelen hedef odaklı kimlik avı e-postaları aracılığıyla yayılan VBS dağıtımcıları tarafından kullanıldı.

Bir diğer yeni arka kapıya ise dahili kurgu adı ve dosya adına dayanarak Mango adını verdi. Solar isimli arka kapı, temel işlevlere sahip. Diğer işlevlerin yanı sıra dosyaları indirmek ve yürütmek, aşamalı dosyaları otomatik olarak dışarı çıkarmak için kullanılabilir.

OilRig’in Solar’ı devreye almadan önce güvenliğini tehlikeye attığı aşamada İsrailli bir insan kaynakları şirketinin web sunucusu, Komuta ve Kontrol sunucusu olarak kullanıldı.

OilRig, Juicy Mix kampanyası için Solar arka kapısından Mango’ya geçiş yaptı. Mango, bazı önemli teknik değişikliklerle birlikte Solar’a benzer bir iş akışına ve örtüşen yeteneklere sahip.