Siber savaş devam ediyor. İran destekli hackerlar ABD enerji altyapısını hedef aldı.
Mint Sandstorm olarak bilinen İran hükümeti destekli bir hacker grubu, 2021 sonu ile 2022 ortası arasında ABD’deki kritik altyapıya yönelik siber saldırılar gerçekleştirdiği tespit edildi.
Microsoft Tehdit İstihbaratı ekibi, bir analizde “Bu Mint Sandstorm alt grubu teknik ve operasyonel olarak bilgili, siber araçlar geliştirebiliyor, güvenlik açıklarını hızla kullanabiliyor ve İran’ın ulusal öncelikleriyle uyumlu görünen operasyonel odağında çeviklik gösterdi” dedi.
Hedeflenen kuruluşlar limanlardan, enerji şirketlerinden, transit sistemlerden ve büyük bir ABD kamu hizmeti ve gaz şirketlerindendi. Faaliyetin misilleme niteliğinde olduğundan şüpheleniliyor ve Mayıs 2020 ile 2021 sonları arasında gerçekleşen denizcilik, demiryolu ve benzin istasyonu ödeme sistemlerini hedef alan saldırılara yanıt olarak verildiği düşünülüyor.
Burada İran’ın daha sonra İsrail’i ve ABD’yi, ülkede huzursuzluk yaratmak amacıyla benzin istasyonlarına yapılan saldırıları yönetmekle suçladığını belirtmekte fayda var.
Mint Sandstorm, Microsoft’un daha önce Phosphorus adı altında izlediği ve APT35, Charming Kitten, ITG18, TA453 ve Yellow Garuda olarak da bilinen tehdit aktörüne atanan yeni addır.
İsimlendirmedeki değişiklik, Microsoft’un kimyasal elementlerden ilham alan takma adlardan, kısmen artan “karmaşıklık, ölçek ve tehdit hacminden kaynaklanan yeni bir hava temalı tehdit aktörü adlandırma taksonomisine geçişinin bir parçası.”
İran İstihbarat ve Güvenlik Bakanlığı (MOIS) adına faaliyet gösterdiği bilinen MuddyWater (Merkür veya Mango Kum Fırtınası) aksine, Mint Sandstorm İslam Devrim Muhafızları Birliği (IRGC) ile ilişkili olduğu söyleniyor.
Redmond tarafından detaylandırılan saldırılar, düşmanın, hedeflenen ortamlara erişim elde etmek için yüksek hedefli kimlik avı siber saldırılarının bir parçası olarak taktiklerini sürekli iyileştirme yeteneğini gösteriyor.
Bu, internete bakan uygulamalardaki kusurlarla bağlantılı kamuya açık kavram kanıtlarının (POC) (örneğin, CVE-2022-47966 ve CVE-2022-47986) ilk erişim ve kalıcılık için oyun kitaplarına hızlı bir şekilde benimsenmesini içerir.
Başarılı bir ihlali, daha sonra iki saldırı zincirinden birini etkinleştirmek için kullanılan ve ilki uzak bir sunucuya bağlanmak ve Active Directory veritabanlarını çalmak için ek PowerShell komut dosyalarına dayanan özel bir PowerShell komut dosyasının dağıtımı izler.
İlginizi çekebilecek yazımız:
İlgili Yazı: Goldoson Android Kötü Amaçlı Yazılımı 100 Milyon Kez İndirildi!
Diğer sıra, aktör kontrollü bir sunucuya bağlanmak ve Drokbk ve Soldier adlı dosyayı yerleştirmek için Impacket’in kullanılmasını gerektirir; ikincisi araçları indirip çalıştırabilen ve kendisini kaldırabilen çok aşamalı bir .NET arka kapısıdır.
Drokbk daha önce Secureworks Counter Threat Unit (CTU) tarafından Aralık 2022’de detaylandırılmıştı ve onu Nemesis Kitten (diğer adıyla Kobalt Serabı, tunnelvisionveya UNC2448) olarak bilinen bir tehdit aktörüne atfediyordu.
Microsoft ayrıca, dosyaları okuyabilen, ana bilgisayar bilgilerini toplayabilen ve verileri filtreleyebilen PowerShell tabanlı bir kötü amaçlı yazılım olan CharmPower olarak adlandırılan üçüncü bir özel ve modüler arka kapının kullanılmasıyla sonuçlanan düşük hacimli kimlik avı siber saldırı yürütmek için tehdit aktörünü de belirtti.
Teknoloji devi, “Bu Mint Sandstorm alt grubuna atfedilen izinsiz girişlerde gözlemlenen yetenekler, operatörlerin C2 iletişimini gizlemelerine, güvenliği ihlal edilmiş bir sistemde kalmalarına ve değişen yeteneklere sahip bir dizi uzlaşma sonrası araç kullanmalarına izin verdikleri için endişe verici” dedi.
Önümüzde ki yıllarda İran destekli hackerlar saldırılarını sıklıkça duymaya devam edeceğiz gibi duruyor.
Haber Kaynağı: The Hacker News