Yeni Kampanya, IronWind Kötü Amaçlı Yazılımıyla Orta Doğu Hükümetlerini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

Yeni Kampanya, IronWind Kötü Amaçlı Yazılımıyla Orta Doğu Hükümetlerini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

“Karmaşık enfeksiyon zincirleri kullanan ve hedeflerine saldırmak için yeni kötü amaçlı yazılımlar kullanan TA402, Orta Doğu ve Kuzey Afrika’da bulunan devlet kurumlarına güçlü bir şekilde odaklanarak son derece hedefli faaliyetlerde bulunmaya devam ediyor ”

Bu gelişme, Cisco Talos’un, siber suçluların, e-posta göndermek ve ayrıntılı kripto para birimi dolandırıcılıkları düzenlemek için Google Forms sınavlarının “Puanları yayınla” özelliğini kullandıklarının gözlemlendiğini ortaya çıkarmasıyla ortaya çıktı; bu da, tehdit aktörlerinin hedeflerine ulaşmak için başvurdukları yaratıcı yöntemlerin altını çiziyor


14 Kasım 2023Haber odasıSiber Casusluk / Tehdit İstihbaratı

Orta Doğu’daki devlet kurumları, adı verilen yeni bir ilk erişim indiricisi sunmak üzere tasarlanmış yeni kimlik avı kampanyalarının hedefidir

Güvenlik araştırmacısı Jaeson Schultz, “E-postalar Google’ın kendi sunucularından geliyor ve dolayısıyla anti-spam korumalarını aşmak ve kurbanın gelen kutusunu bulmak daha kolay olabilir ”

IronWind’in kullanımıyla aynı zamana denk gelen, IronWind’i dağıtmak için Dropbox bağlantılarını, XLL dosya eklerini ve RAR arşivlerini kullanan kötü amaçlı yazılım dağıtım mekanizmalarında tutarlı güncellemeler yapılıyor

Temmuz ve Ekim 2023 arasında tespit edilen aktivite, atfedilen Proofpoint tarafından bu isim altında takip ettiği bir tehdit aktörüne TA402Moleratlar, Gazze Siber Çetesi olarak da bilinen ve hisseleri taktik örtüşmeler APT-C-23 (aka Arid Viper) olarak bilinen Hamas yanlısı bir hack ekibiyle

Proofpoint’in kıdemli tehdit araştırmacısı Joshua Miller, The Hacker News ile paylaştığı bir açıklamada, “Devlet bağlantılı tehdit aktörleri söz konusu olduğunda, genellikle dikkatten aslan payını Kuzey Kore, Rusya, Çin ve İran alıyor DemirRüzgar

TA402’nin en son kampanyaları, Dışişleri Bakanlığı’na ait ele geçirilmiş bir e-posta hesabının, IronWind’in dağıtımını kolaylaştıran Dropbox bağlantılarına işaret eden kimlik avı tuzakları göndermek için kullanılmasıyla karakterize ediliyor

Miller, “Orta Doğu’da devam eden çatışma, devam eden operasyonlarını engellemiş gibi görünmüyor, zira tespit çabalarını atlatmak için yeni ve akıllı teslimat yöntemlerini yinelemeye ve kullanmaya devam ediyorlar” dedi

İndirici, saldırgan tarafından kontrol edilen bir sunucuyla bağlantı kurarak ek yükleri getirecek şekilde tasarlanmıştır; buna bir istismar sonrası araç seti de dahildir

“Ancak, tarihsel olarak Filistin Toprakları’nın çıkarları doğrultusunda faaliyet gösteren bir Orta Doğu gelişmiş kalıcı tehdit (APT) grubu olan TA402, istihbarat toplama odaklı son derece karmaşık siber casusluk yapabilen ilgi çekici bir tehdit aktörü olduğunu sürekli olarak kanıtladı

IronWind’in kullanımı, Orta Doğu hükümetlerini ve dış politika düşünce kuruluşlarını hedef alan saldırılarda NimbleMamba kod adlı bir arka kapının yayılmasıyla bağlantılı olan önceki saldırı zincirlerinden bir değişikliktir ” söz konusu geçen hafta



siber-2

Grubun kullandığı bir diğer dikkate değer taktik, tespit çabalarını karmaşıklaştırmak için coğrafi sınırlama tekniklerine güvenmektir SharpSploitçok aşamalı bir sırayı takip ederek ” dedi

Ağustos ve Ekim 2023’teki sonraki sosyal mühendislik kampanyalarının, IronWind dağıtımını tetiklemek için e-posta mesajlarına gömülü XLL dosyasından ve RAR arşiv eklerinden yararlandığı tespit edildi