Yeni APT, Orta Doğu ve Afrika’daki telekomünikasyon şirketlerini, ISP’leri ve üniversiteleri hedefliyor



Güvenlik araştırmacıları bugün, Orta Doğu ve Afrika’daki çeşitli ülkelerde öncelikle telekomünikasyon, internet servis sağlayıcıları ve üniversiteleri hedef alan daha önce hiç görülmemiş gelişmiş bir tehdit aktörü keşfettiklerini söyledi.

Araştırmacılar tarafından “Metador” olarak adlandırılan SentinelOne Inc.’in SentinelLabs’i, gelişmiş kalıcı tehdit grubu, güvenlik çözümlerini atlamak ve kötü amaçlı yazılım platformlarını doğrudan belleğe yerleştirmek için karmaşık karşı önlemler uygulayan, son derece karmaşık ve operasyon güvenliğinin son derece farkında olarak tanımlanır. Grubun, uzun süredir devam eden iki Windows kötü amaçlı yazılım platformunun türevlerini ve ayrıca bir Linux implantının göstergelerini kullandığı tespit edildi.

Metador, araştırmacılar tarafından, birden fazla tehdit aktörünün aynı kurban makinesinde düzenli olarak birlikte yaşadığı arzu edilen hedefleri tanımlamak için kullanılan bir terim olan “Tehdit Mıknatısı”nı araştırırken keşfedildi. Bir Tehdit Mıknatısı’ndaki bir dizi karışık saldırıya yanıt veren araştırmacılar, Çin ve İran kökenli yaklaşık 10 bilinen tehdit aktörünün bir katmanını buldular, ancak daha sonra daha önce görmedikleri olağandışı bir enfeksiyon fark ettiler: Metador.

Tehdit grubunun nereden geldiği bilinmiyor. Geliştiricilerin ve operatörlerin, İngiliz pop punk şarkı sözlerine ve Arjantin siyasi karikatürlerine kültürel referanslarla hem İngilizce hem de İspanyolca konuştuklarına dair kanıtlar var. Metador adı, kötü amaçlı yazılım örneklerinden birindeki “Ben metayım” dizesine yapılan bir referanstan ve komuta ve kontrol sunucularından İspanyolca yanıt beklentisinden gelir.

Araştırmacılar, “Sınırlı sayıda izinsiz giriş ve hedeflere uzun vadeli erişim, tehdit aktörünün birincil amacının casusluk olduğunu gösteriyor” dedi. “Ayrıca, kötü amaçlı yazılımın teknik karmaşıklığı ve aktif gelişimi, birden çok çerçeveyi elde edebilen, sürdürebilen ve genişletebilen iyi kaynaklara sahip bir grup olduğunu gösteriyor.”

Grup hakkında net olan tek şey, karmaşıklığıdır. Bariz aday, devlet destekli bir aktördür, ancak İspanyolca konuşanlar genellikle bu tür bilgisayar korsanlığı grupları ile akla gelmez. Tehditlerin Mıknatısı örneğinin analizi ile meseleleri karmaşıklaştırmak için araştırmacılar kullanılan orijinal enfeksiyon vektörünü bulamadılar.

Bir kurbana erişim sağladıktan sonra, Metador’un modüler çerçevesi, operatörlerin birden çok yürütme akışı arasında seçim yapmasına olanak tanır. Tehditlerin Mıknatısı durumunda, yürütme akışı bir WMI kalıcılığını (uzak bir konumdan bir yük yürütebilen bir PowerShell betiği) olağandışı bir LOLbin, “metaMain” olarak adlandırılan bir Microsoft Konsol Hata Ayıklayıcı ile birleştirdi.

MetaMain, “Mafalda” adı verilen müteakip modüler çerçevenin şifresini belleğe çözmek için zengin özelliklere sahip bir arka kapı implantı olarak tanımlanır. Mafalda, esnek ve etkileşimli olarak tanımlanır ve 60’tan fazla komutu destekler.

Araştırmacılar, “Önceki tehdit istihbaratı keşifleri, orada bulunan tehdit türlerine ilişkin anlayışımızı genişletti, ancak şimdiye kadar, bu aktörleri takip etme konusundaki kolektif yeteneğimiz en iyi ihtimalle tutarsız kaldı” dedi. “Özellikle güvenlik ürünleri geliştiricileri, bunu en kurnaz, iyi kaynaklara sahip tehdit aktörlerini izlemeye yönelik proaktif olarak çözümlerini tasarlamak için bir fırsat olarak değerlendirmelidir.”

Fotoğraf: Wikimedia Commons

Uzmanlardan oluşan Cube Club ve Cube Event Topluluğumuza katılarak misyonumuza desteğinizi gösterin. Amazon Web Servisleri ve Amazon.com CEO’su Andy Jassy, ​​Dell Technologies’in kurucusu ve CEO’su Michael Dell, Intel CEO’su Pat Gelsinger ve daha birçok aydınlatıcı ve uzmanı içeren topluluğa katılın.


Kaynak : https://siliconangle.com/2022/09/22/new-apt-targets-telcos-isps-universities-middle-east-africa/

Yorum yapın