'Yaralı Mantikor' Şimdiye Kadarki En Gelişmiş İran Siber Casusluğunu Ortaya Çıkarıyor - Dünyadan Güncel Teknoloji Haberleri

'Yaralı Mantikor' Şimdiye Kadarki En Gelişmiş İran Siber Casusluğunu Ortaya Çıkarıyor - Dünyadan Güncel Teknoloji Haberleri

İçinde 31 Ekim’de yayınlanan bir raporCheck Point ve Sygnia’dan araştırmacılar, kampanyayı İran’la bağlantılı “önceki faaliyetlerle karşılaştırıldığında çok daha karmaşık” olarak nitelendirdi Ünlü OilRig (diğer adıyla APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm) ile örtüşüyor ve araçlarından bazıları 2021’de Arnavutluk hükümet sistemlerine yönelik ikili fidye yazılımı ve temizleme saldırılarında gözlemlendi ”

Mazor’a göre Scarred Manticore’un ortaya çıkmasına yardımcı olan başlıca araçlar Web uygulaması güvenlik duvarları ve ağ düzeyinde dinlemeydi Shykevich ise bu tür gelişmiş operasyonları ortadan kaldırmak için XDR’nin önemini vurguluyor Ancak en yeni silahı — Gelen trafikten yükleri çıkarmak için HTTP

Check Point tarafından “Yaralı Manticore” ve Cisco Talos tarafından “Shrouded Snooper” olarak takip edilen sorumlu grup, İran İstihbarat ve Güvenlik Bakanlığı ile bağlantılı

İlk günlerinde, değiştirilmiş bir versiyonunu kullanıyordu ”

Aslan Kuyruğu Tespiti

Liontail’in en gizli özelliği, Windows HTTP yığın sürücüsü HTTP Şu ana kadar çalınan verilerin kesin niteliği kamuya açıklanmadı “Bu, hedeflerine çok özel, tam ölçekli bir çerçeve

Shykevich, “Son derece gizli çünkü tespit edilmesi ve önlenmesi kolay büyük bir kötü amaçlı yazılım yok” diye açıklıyor



İran devleti destekli bir tehdit aktörü, gizli, özelleştirilebilir bir kötü amaçlı yazılım çerçevesi kullanarak Orta Doğu’daki yüksek değerli kuruluşlar hakkında en az bir yıldır casusluk yapıyor

“Uygun bir uç nokta korumanız varsa buna karşı savunma yapabilirsiniz” diyor NET tabanlı arka kapı gibi diğer araçlardan da yararlandı ”



siber-1

İlk olarak Eylül ayında Cisco Talos tarafından açıklanan kötü amaçlı yazılım, esas olarak kendisini bir Windows sunucusuna bağlayarak saldırganın belirlediği belirli URL kalıplarıyla eşleşen mesajları dinliyor, yakalıyor ve kodunu çözüyor

Zamanla grup Tunna’da yeterince değişiklik yaptı ve araştırmacılar onu “Foxshell” yeni adı altında takip etti Ayrıca İnternet Bilgi Hizmetleri (IIS) sunucuları için tasarlanmış açık kaynak Web kabuğu Tunna

Foxshell’den sonra grubun en yeni ve en büyük silahı geldi: Liontail çerçevesi GitHub’da 298 kez forklanan Tunna, ağ kısıtlamalarını ve güvenlik duvarlarını aşarak TCP iletişimini HTTP üzerinden tünelleyen bir araç seti olarak pazarlanıyor Liontail, bellekte yerleşik olan, yani dosyasız oldukları, belleğe yazıldıkları ve bu nedenle arkalarında çok az fark edilebilir iz bıraktıkları anlamına gelen, özel kabuk kodu yükleyicileri ve kabuk kodu yüklerinden oluşan bir dizidir “Ağ düzeyi ile uç nokta düzeyi arasındaki korelasyonları, yani uç nokta cihazlarındaki Web kabukları ve PowerShell trafiğindeki anormallikleri arayabilirsiniz Bunun yerine, “çoğunlukla PowerShell, ters proxy’ler, ters kabuklar ve hedeflere göre özelleştirilmiş

Check Point’in tehdit istihbaratı grup yöneticisi Sergey Shykevich, “Bu yalnızca ayrı Web kabukları, proxy’ler veya standart kötü amaçlı yazılımlardan ibaret değil” diye açıklıyor Hedefler şu ana kadar İsrail, Irak, Ürdün, Kuveyt, Umman, Suudi Arabistan ve Birleşik Arap Emirlikleri’ndeki hükümet, askeri, finans, BT ve telekomünikasyon sektörlerini kapsıyordu ”

Yaralı Manticore’un Gelişen Araçları

Scarred Manticore, en az 2019’dan beri Orta Doğu’daki yüksek değerli kuruluşların İnternet’e bakan Windows sunucularına saldırıyor

Aslında, Sygnia olay müdahale ekibi lideri Yoav Mazor şöyle diyor: “Bir Web kabuğu gibi davranıyor, ancak geleneksel Web kabuğu günlüklerinin hiçbiri aslında yazılmıyor sys sürücüsünün belgelenmemiş işlevlerinden yararlanan “Liontail” çerçevesi tamamen kendine aittir ilk olarak Şubat 2022’de ortaya çıkarıldı ancak ilişkilendirilmedi sys’ye doğrudan çağrılarla yükleri nasıl uyandırdığıdır Bu en iyi yoldur