Siber tehdit aktörlerinin oltalama saldırısında kullandıkları IP adresi, ABD Savunma Bakanlığı’nın çıktı
NSFOCUS Security Labs, İran merkezli olduğu düşünülen APT34 grubunun oltalama saldırısını ortaya çıkardı.
Söz konusu grup Orta Doğu’da faaliyet gösterirken ABD’deki işletmeleri hedef almasıyla da biliniyor.
NSFOCUS Security Labs, OilRig veya Helix Kitten olarak da bilinen Gelişmiş Kalıcı Tehdit (APT) grubu APT34’ün Ganjavi Global Marketing Services (GGMS) adlı bir pazarlama hizmetleri şirketinin kimliğine bürünerek gerçekleştirdiği oltalama saldırısının detaylarını ortaya koydu.
APT34, kurbanlarının ana bilgisayarları üzerinde kontrol elde edebilmek için SideTwist Truva Atı’nın bir varyantını kullandı.
APT34 KİMDİR?
2014’ten beri aktif olan APT34, siber casusluk ve sabotaj konusunda uzmanlaşmasıyla biliniyor.
Özellikle Orta Doğu’da faaliyet gösteren bu grup finans, devlet, enerji, kimya ve telekomünikasyon gibi çeşitli sektörleri hedef alıyor.
Saldırı yöntemlerini farklı hedeflere göre uyarlayan hatta tedarik zinciri saldırıları yürüten APT34, gelişmiş saldırı yeteneklerine sahip bir grup olarak biliniyor.
SALDIRI NASIL GERÇEKLEŞTİ?
APT34, görünüşte işletmelere odaklanarak küresel pazarlama hizmetleri sunan hayali bir Ganjavi Global Pazarlama Hizmetleri” şirketini kurbanlara hizmet olarak sunmaya çalıştı.
Kimlik avcısı Türk, Pentagon’u dolandırırken yakayı ele verdi
Hedef aldığı işletmeye gönderdiği “GGMS Overview.doc” başlıklı bir tuzak dosyasının içine gizlenmiş kötü niyetli bir makro kodla dağıtım ortamını düzenledi.
Bu makro kod, Trojan SystemFailureReporter.exe dosyasını belgeden base64 formatında çıkarmış, %LOCALAPPDATA%\SystemFailureReporter\ dizinine yerleştirmiş ve aynı dizinde Trojan’ın etkinleştirme anahtarı olarak görev yapan bir update.xml metin dosyası oluşturdu.
Ardından, kötü niyetli makro kod “SystemFailureReporter” adlı zamanlanmış bir görev oluşturarak her beş dakikada bir Trojan’ı çağırdı ve sürekli çalışmasını sağladı.
SideTwist varyantı olarak tanımlanan Truva Atı, HTTP aracılığıyla 11.0.188.38:443 adresindeki bir CnC sunucusuyla iletişim kurdu.
İlginç olan kısımsa APT34 kampanyasının 11.0.188.38 CnC IP adresini kullanmış olması. Yapılan araştırma, bu IP adresinin Columbus, Ohio’daki Amerika Birleşik Devletleri Savunma Bakanlığı Ağ Bilgi Merkezi’ne ait olduğunu ortaya çıkardı.
Araştırmaya göre bu IP seçimi, APT34’ün sonraki saldırılarda farklı, gizli bir CnC adresini etkinleştirmek amacıyla bu işlemi test etmek için kullanmış olabileceğini düşündürüyor.
