İran Bağlantılı OilRig Grubunun Yeni Saldırısı ve Kötü Amaçlı Yazılım Entegrasyonu
Siber güvenlik alanında faaliyet gösteren ESET, İran menşeli ve sıkça APT34 veya Lyceum isimleriyle anılan OilRig grubunun, İsrailli hedeflere karşı yeni ve gelişmiş kötü amaçlı yazılım taktikleri kullandığını ortaya çıkardı. Bu grup, 2014 yılından itibaren Orta Doğu bölgesinde aktif olarak siber casusluk faaliyetlerini sürdürmekte ve enerji, kimya, finans ve telekomünikasyon sektörlerindeki çeşitli hükümet ve özel kuruluşları hedef almaktadır.
İngiltere merkezli araştırmacılar, OilRig grubunun 2021 yılından Outer Space ve 2022 yılından Juicy Mix adını verdikleri iki saldırı kampanyasını detaylıca inceledi. Her iki saldırı da özellikle İsrailli şirketleri ve kurumları hedef almış olup, bu durum grubun bölgesel odaklı stratejilerini doğrulamaktadır. Ayrıca, saldırılar sırasında kullanılan teknik ve araçlar açısından büyük benzerlikler göstermektedir.
Saldırı Yöntemleri ve Kötü Amaçlı Yazılım Entegrasyonu
OilRig, saldırılarında ilk aşamada, yasal bir web sitesinin güvenliğini ihlal ederek, Komuta ve Kontrol (C&C) sunucusu olarak kullanılmak üzere sahte ve güvenilir görünen alan adlarını devreye soktu. Bu alanlar aracılığıyla hedef sistemlere erişim sağlandı ve çeşitli zararlı yazılımlar dağıtıldı. Ayrıca, saldırganlar, genellikle hedef sistemlerdeki kimlik bilgileri, çerezler ve göz atma geçmişleri gibi hassas verileri çalmayı amaçlayan araçlar kullandı.
Özellikle, Windows Kimlik Bilgisi Yöneticisi ve çeşitli tarayıcı verilerini hedef alan saldırılar gerçekleştirildi. Bu süreçte, Solar isimli yeni ve belgelenmemiş bir arka kapı (backdoor) kullanıldı. Bu arka kapı, C#/.NET dilinde geliştirilmiş olup, saldırganlara sistem üzerinde çeşitli gizli işlemler yapma imkânı tanımaktadır. Ayrıca, Microsoft Exchange Web Hizmetleri API kullanılarak, Komuta ve Kontrol iletişimi sağlandı.
Saldırı Kampanyalarının Detayları ve Yeni Araçlar
OilRig’in Outer Space saldırısında, yeni ve gelişmiş SampleCheck5000 (SC5k) adlı bir indirici ve Solar isimli arka kapı kullanıldı. Solar, temel fonksiyonlar içermekte olup, dosya indirme ve yürütme yeteneklerine sahiptir. Ayrıca, saldırganlar bu aşamada, hedef web sitesini ve C&C sunucusunu kullanarak, saldırılarını başarıyla gerçekleştirdi.
İkinci saldırı olan Juicy Mix kampanyasında ise, Solar arka kapısından Mango isimli yeni ve daha gelişmiş bir arka kapı devreye sokuldu. Mango, Solar’a kıyasla daha fazla gizleme ve saldırı yeteneği sunmakta olup, aynı zamanda farklı tekniklerle saldırganların tespit edilmesini zorlaştırmaktadır. Her iki arka kapı da, muhtemelen hedef odaklı kimlik avı e-postalarıyla dağıtılmış zararlı VBS (Visual Basic Script) dosyalarıyla yayılmıştır.
Güvenlik ve Teknik Analizler
ESET araştırmacıları, bu saldırılarda kullanılan araç setlerini detaylı biçimde analiz ederek, özellikle Solar ve Mango arka kapılarının fonksiyonlarını ve teknik özelliklerini ortaya çıkardı. Ayrıca, saldırganların kullandığı yöntem ve teknikler hakkında önemli bilgiler edindi. Zuzana Hromcová adlı uzman, yaptığı açıklamada, “Bu teknik, uç noktadaki güvenlik çözümlerinin, kullanıcı modu kod kancalarını DLL kullanarak yüklemesini engellemek amacıyla tasarlanmıştır. Güncel örneğimizde, bu özellik kullanılmamış olsa da, gelecekteki sürümlerde etkinleştirilebilir” ifadelerini kullandı.
Sonuç ve İş Birliği
ESET, saldırıların detaylarını ve kullanılan kötü amaçlı araçları tespit ederek, ilgili güvenlik açıklarını ve teknikleri kamuoyuyla paylaştı. Aynı zamanda, bu bilgileri İsrail Ulusal Bilgi Güvenliği Otoritesi (CERT) ile paylaşarak, bölgesel ve uluslararası güvenlik önlemlerinin güçlendirilmesine katkıda bulundu.
Bu gelişmeler, İran bağlantılı siber casusluk gruplarının, bölgesel hedeflere yönelik yeni ve gelişmiş taktikler geliştirmeye devam ettiğinin göstergesidir. Siber güvenlik duvarlarının ve uç nokta çözümlerinin güncel tutulması, bu tür saldırılara karşı önemli bir savunma mekanizması oluşturmaktadır.
