'Yaralı Mantikor' Şimdiye Kadarki En Gelişmiş İran Siber Casusluğunu Ortaya Çıkarıyor - Dünyadan Güncel Teknoloji Haberleri

'Yaralı Mantikor' Şimdiye Kadarki En Gelişmiş İran Siber Casusluğunu Ortaya Çıkarıyor - Dünyadan Güncel Teknoloji Haberleri
GitHub’da 298 kez forklanan Tunna, ağ kısıtlamalarını ve güvenlik duvarlarını aşarak TCP iletişimini HTTP üzerinden tünelleyen bir araç seti olarak pazarlanıyor Liontail, bellekte yerleşik olan, yani dosyasız oldukları, belleğe yazıldıkları ve bu nedenle arkalarında çok az fark edilebilir iz bıraktıkları anlamına gelen, özel kabuk kodu yükleyicileri ve kabuk kodu yüklerinden oluşan bir dizidir İlk olarak Eylül ayında Cisco Talos tarafından açıklanan kötü amaçlı yazılım, esas olarak kendisini bir Windows sunucusuna bağlayarak saldırganın belirlediği belirli URL kalıplarıyla eşleşen mesajları dinliyor, yakalıyor ve kodunu çözüyor Ancak en yeni silahı — Gelen trafikten yükleri çıkarmak için HTTP

Foxshell’den sonra grubun en yeni ve en büyük silahı geldi: Liontail çerçevesi Ayrıca İnternet Bilgi Hizmetleri (IIS) sunucuları için tasarlanmış ”

Yaralı Manticore’un Gelişen Araçları

Scarred Manticore, en az 2019’dan beri Orta Doğu’daki yüksek değerli kuruluşların İnternet’e bakan Windows sunucularına saldırıyor sys sürücüsünün belgelenmemiş işlevlerinden yararlanan “Liontail” çerçevesi tamamen kendine aittir sys’ye doğrudan çağrılarla yükleri nasıl uyandırdığıdır



İran devleti destekli bir tehdit aktörü, gizli, özelleştirilebilir bir kötü amaçlı yazılım çerçevesi kullanarak Orta Doğu’daki yüksek değerli kuruluşlar hakkında en az bir yıldır casusluk yapıyor ”

Aslan Kuyruğu Tespiti

Liontail’in en gizli özelliği, Windows HTTP yığın sürücüsü HTTP NET tabanlı arka kapı gibi diğer araçlardan da yararlandı ”



siber-1

ilk olarak Şubat 2022’de ortaya çıkarıldı ancak ilişkilendirilmedi

Check Point tarafından “Yaralı Manticore” ve Cisco Talos tarafından “Shrouded Snooper” olarak takip edilen sorumlu grup, İran İstihbarat ve Güvenlik Bakanlığı ile bağlantılı Hedefler şu ana kadar İsrail, Irak, Ürdün, Kuveyt, Umman, Suudi Arabistan ve Birleşik Arap Emirlikleri’ndeki hükümet, askeri, finans, BT ve telekomünikasyon sektörlerini kapsıyordu

İçinde 31 Ekim’de yayınlanan bir raporCheck Point ve Sygnia’dan araştırmacılar, kampanyayı İran’la bağlantılı “önceki faaliyetlerle karşılaştırıldığında çok daha karmaşık” olarak nitelendirdi Shykevich ise bu tür gelişmiş operasyonları ortadan kaldırmak için XDR’nin önemini vurguluyor

Shykevich, “Son derece gizli çünkü tespit edilmesi ve önlenmesi kolay büyük bir kötü amaçlı yazılım yok” diye açıklıyor

Zamanla grup Tunna’da yeterince değişiklik yaptı ve araştırmacılar onu “Foxshell” yeni adı altında takip etti “Bu, hedeflerine çok özel, tam ölçekli bir çerçeve ”

Mazor’a göre Scarred Manticore’un ortaya çıkmasına yardımcı olan başlıca araçlar Web uygulaması güvenlik duvarları ve ağ düzeyinde dinlemeydi

Check Point’in tehdit istihbaratı grup yöneticisi Sergey Shykevich, “Bu yalnızca ayrı Web kabukları, proxy’ler veya standart kötü amaçlı yazılımlardan ibaret değil” diye açıklıyor Bunun yerine, “çoğunlukla PowerShell, ters proxy’ler, ters kabuklar ve hedeflere göre özelleştirilmiş Şu ana kadar çalınan verilerin kesin niteliği kamuya açıklanmadı

Aslında, Sygnia olay müdahale ekibi lideri Yoav Mazor şöyle diyor: “Bir Web kabuğu gibi davranıyor, ancak geleneksel Web kabuğu günlüklerinin hiçbiri aslında yazılmıyor

İlk günlerinde, değiştirilmiş bir versiyonunu kullanıyordu

“Uygun bir uç nokta korumanız varsa buna karşı savunma yapabilirsiniz” diyor Bu en iyi yoldur “Ağ düzeyi ile uç nokta düzeyi arasındaki korelasyonları, yani uç nokta cihazlarındaki Web kabukları ve PowerShell trafiğindeki anormallikleri arayabilirsiniz açık kaynak Web kabuğu Tunna Ünlü OilRig (diğer adıyla APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm) ile örtüşüyor ve araçlarından bazıları 2021’de Arnavutluk hükümet sistemlerine yönelik ikili fidye yazılımı ve temizleme saldırılarında gözlemlendi