İran Bağlantılı OilRig Grubunun Kullandığı Yazılım
Merhaba yeni bir durum ile karşılaştık aslında bunu yazma gereği duymuyordum ki bunun sebebi bir çok kurumun mutlaka kendisini emniyete alacağı güveniydi.. Yanıldım!
Söylemekte fayda var saldırıyı OilRig grubu yapıyor!
İtiraf ediyorum saldırı 2019 yılının şubat ayında başladı yoğun şekilde nerelere diye soracak olursanız!
İran bağlantılı OilRig APT grubu şu anda OopsIE adlı yeni bir Truva atını kullanıyor, Palo Alto Networks uzmanları, yeni bir kötü amaçlı yazılımın yakın zamanda bir sigorta acentesine ve Orta Doğu'daki bir finans kurumuna yapılan saldırılarda kullanıldığını gözlemledi.
Saldırılardan biri, ThreeDollars teslimat belgesinin bir çeşidine dayanıyordu , aynı kötü niyetli belge, tehdit oyuncusu tarafından ISMInjector Trojan'ı teslim etmesi için Birleşik Arap Emirlikleri hükümetine gönderildi.
PaloAlto tarafından tespit edilen ikinci saldırıda, OilRig korsanları bir mızrak phishing mesajındaki bir link aracılığıyla kötü amaçlı kodu iletmeye çalıştı.
“8 Ocak 2018'de Birim 42, OilRig tehdit grubunun Orta Doğu'da bulunan bir sigorta acentesine saldırı düzenlediğini gözlemledi. Bir haftadan biraz daha sonra, 16 Ocak 2018'de Orta Doğu finans kurumuna bir saldırı gözlemledik. Her iki saldırıda da, OilRig grubu OopsIE olarak takip ettiğimiz yeni bir Truva atını vermeye çalıştı. ” Palo Alto Networks'ün analizini okuyor .
İlk saldırı 8 Ocak 2018'de gerçekleşti, bilgisayar korsanları hedef organizasyondaki altı dakikalık bir süre zarfında iki farklı e-posta adresine iki e-posta gönderdi. Saldırganlar, büyük bir küresel finans kurumunun Lübnan alanıyla ilgili e-posta adresini taklit etti.
OilRig, 16 Ocak'ta bir saldırı daha başlattı, bu durumda saldırganlar OopsIE Trojanını doğrudan komut ve kontrol (C&C) sunucusundan indirdiler. Aynı organizasyon ikinci kez OilRig tarafından vuruldu, ilk saldırılar 2017'de gerçekleşti.
Bilgisayar korsanları, VBScript dosyası ve her üç dakikada bir kendisini çalıştırmak için zamanlanmış bir görev oluşturarak ısrar eder. OopsIE Trojan, InternetExplorer uygulama nesnesini kullanarak C&C ile HTTP üzerinden iletişim kurar.
“InternetExplorer uygulama nesnesini kullanarak, C2 ile ilgili tüm istekler meşru tarayıcıdan geliyormuş gibi görünecek ve bu nedenle istek içinde özel Kullanıcı Ajanları gibi herhangi bir anormal alan içermeyecek. OopsIE Truva atı, aşağıdakilerde barındırılan bir C2 sunucusunu kullanacak şekilde yapılandırılmıştır:
www.msoffice365cdn [.] com ”analizi gösterir.
“Trojan, C2 sunucusuyla iletişim kurmak için belirli URL'ler oluşturacak ve C2 sunucusunun <pre> ve </pre> etiketlerinde içerik arayan yanıtını ayrıştırır. İlk HTTP isteği bir işaret gibi davranıyor ”
Sondaj kulesi
Trojan bir komutu çalıştırabilir, bir dosya yükleyebilir veya belirtilen bir dosyayı indirebilir.
Oilrig taktiklerini uyarlamaya devam edecek, uzmanlar Orta Doğu bölgesinde oldukça aktif bir tehdit oyuncusu olacağına inanıyor.
“Bu grup sürekli olarak taktiklerini uyarlama ve geliştirmeye istekli olduğuna dair kanıtlar sunarken, aynı zamanda bazı yönleri de yeniden kullandı. Şimdi, bu düşmanın, geçmişte kullanılan bir şeylerin yinelemeli bir çeşitlemesi olduğu görünen çok sayıda araç kullandığını gözlemledik. Bununla birlikte, araçlar zaman içinde kendilerine zarar vermiş olsalar da, oyun kitaplarında yaptıkları oyunlar, saldırı yaşam döngüsü boyunca incelendiğinde büyük ölçüde aynı kalıyor , ”diyor Palo Alto.
Söylemekte fayda var saldırıyı OilRig grubu yapıyor!
İtiraf ediyorum saldırı 2019 yılının şubat ayında başladı yoğun şekilde nerelere diye soracak olursanız!
 |
| İran Bağlantılı OilRig Grubunun Kullandığı Yazılım |
- Türkiye
- İsrail
- Arabistan
- ABD
- Fransa
Dahası var.. en fazla Çin ve Türkiye'de zarar olduğunu görüyorum.
Resimlerini yayınlama konusunda endişem var ama yazının sonunda anlatarak yayınlamak İstiyorum!
İran bağlantılı OilRig APT grubu şu anda OopsIE adlı yeni bir Truva atını kullanıyor, Palo Alto Networks uzmanları, yeni bir kötü amaçlı yazılımın yakın zamanda bir sigorta acentesine ve Orta Doğu'daki bir finans kurumuna yapılan saldırılarda kullanıldığını gözlemledi.
Saldırılardan biri, ThreeDollars teslimat belgesinin bir çeşidine dayanıyordu , aynı kötü niyetli belge, tehdit oyuncusu tarafından ISMInjector Trojan'ı teslim etmesi için Birleşik Arap Emirlikleri hükümetine gönderildi.
PaloAlto tarafından tespit edilen ikinci saldırıda, OilRig korsanları bir mızrak phishing mesajındaki bir link aracılığıyla kötü amaçlı kodu iletmeye çalıştı.
“8 Ocak 2018'de Birim 42, OilRig tehdit grubunun Orta Doğu'da bulunan bir sigorta acentesine saldırı düzenlediğini gözlemledi. Bir haftadan biraz daha sonra, 16 Ocak 2018'de Orta Doğu finans kurumuna bir saldırı gözlemledik. Her iki saldırıda da, OilRig grubu OopsIE olarak takip ettiğimiz yeni bir Truva atını vermeye çalıştı. ” Palo Alto Networks'ün analizini okuyor .
İlk saldırı 8 Ocak 2018'de gerçekleşti, bilgisayar korsanları hedef organizasyondaki altı dakikalık bir süre zarfında iki farklı e-posta adresine iki e-posta gönderdi. Saldırganlar, büyük bir küresel finans kurumunun Lübnan alanıyla ilgili e-posta adresini taklit etti.
OilRig, 16 Ocak'ta bir saldırı daha başlattı, bu durumda saldırganlar OopsIE Trojanını doğrudan komut ve kontrol (C&C) sunucusundan indirdiler. Aynı organizasyon ikinci kez OilRig tarafından vuruldu, ilk saldırılar 2017'de gerçekleşti.
Araştırmacılar, kötü amaçlı yazılımın SmartAssembly ile dolu olduğunu ve ConfuserEx ile karıştırıldığını açıkladı.
Bilgisayar korsanları, VBScript dosyası ve her üç dakikada bir kendisini çalıştırmak için zamanlanmış bir görev oluşturarak ısrar eder. OopsIE Trojan, InternetExplorer uygulama nesnesini kullanarak C&C ile HTTP üzerinden iletişim kurar.
“InternetExplorer uygulama nesnesini kullanarak, C2 ile ilgili tüm istekler meşru tarayıcıdan geliyormuş gibi görünecek ve bu nedenle istek içinde özel Kullanıcı Ajanları gibi herhangi bir anormal alan içermeyecek. OopsIE Truva atı, aşağıdakilerde barındırılan bir C2 sunucusunu kullanacak şekilde yapılandırılmıştır:
www.msoffice365cdn [.] com ”analizi gösterir.
“Trojan, C2 sunucusuyla iletişim kurmak için belirli URL'ler oluşturacak ve C2 sunucusunun <pre> ve </pre> etiketlerinde içerik arayan yanıtını ayrıştırır. İlk HTTP isteği bir işaret gibi davranıyor ”
Sondaj kulesi
Trojan bir komutu çalıştırabilir, bir dosya yükleyebilir veya belirtilen bir dosyayı indirebilir.
Oilrig taktiklerini uyarlamaya devam edecek, uzmanlar Orta Doğu bölgesinde oldukça aktif bir tehdit oyuncusu olacağına inanıyor.
“Bu grup sürekli olarak taktiklerini uyarlama ve geliştirmeye istekli olduğuna dair kanıtlar sunarken, aynı zamanda bazı yönleri de yeniden kullandı. Şimdi, bu düşmanın, geçmişte kullanılan bir şeylerin yinelemeli bir çeşitlemesi olduğu görünen çok sayıda araç kullandığını gözlemledik. Bununla birlikte, araçlar zaman içinde kendilerine zarar vermiş olsalar da, oyun kitaplarında yaptıkları oyunlar, saldırı yaşam döngüsü boyunca incelendiğinde büyük ölçüde aynı kalıyor , ”diyor Palo Alto.
Yorumlar
Yorum Gönder