İran Destekli APT Grubu APT34: OILRIG
APT34, İran‘ın stratejik çıkarlarına uygun olarak genellikle siber saldırılarını Orta Doğu‘ya yönelik gerçekleştirmektedir ve dolayısıyla hedefleri arasında Türkiye’de vardır. Grubun 2014 yılından itibaren aktif olduğu bildirilmektedir. Nisan 2019’da, APT34’e ait birçok bilgi telegram aracılığıyla sızdırıldı.
APT34 Kimdir?
APT34; aynı zamanda OILRIG, HELIX KITTEN, IRN2 gibi isimlerle de anılmaktadır. Aslında APT34 ve OILRIG olmak üzere iki ayrı grupta incelenmiştir fakat faaliyetlerinin örtüşmesi üzerine birleştirilmiştir. 2014’ten beri bir siber casusluk ve saldırılar kümelenmesi olarak aktif oldukları bilinmektedir.
APT34 Hangi Ülkeler Tarafından Desteklenmektedir?
APT34; İran operasyonlarına bağlı altyapı kullanımı, zamanlama ve İran’ın ulusal çıkarlarına uygun hareket etmelerinden dolayı İran kökenli bir hacker grubu olarak tanımlanmıştır. Ayrıca yine İran kökenli bir grup olan APT33 tarafından da hedef alınmış olan çoğu organizasyona yönelik saldırılar yapmıştır. Tüm bu bilgiler doğrultusunda İran altyapısının kullanımına dayalı olarak İran hükümeti adına çalıştığı değerlendirilmektedir.
APT34’ün Hedef Sektörleri Nelerdir?
İran’ın jeopolitik konumuna, ekonomik ihtiyaçlarına ve stratejik çıkarlarına uygun, İran’a fayda sağlayacak bir misyonla hareket etmelerinden dolayı APT34 grubunun asıl hedef kitlesi Orta Doğu ülkeleridir. Dolayısıyla Türkiye de bu hacker grubunun hedefleri arasındadır. Orta Doğu ülkeleri dışında; ABD, İngiltere, Almanya gibi ülkeler de APT34 grubunun hedefleri arasındadır. Tehdit grubu kurum ve kuruluş olarak:
- Finans
- Telekomünikasyon
- Kimya endüstrisi
- Kritik altyapı sistemleri
- Enerji kurumları
- Devlet kurumları
- Medya
gibi çeşitli alanları hedeflemiş ve faaliyetlerini genel olarak bu alana yönlendirmiştir.
APT34 Hangi Zararlı Yazılımları Kullanmaktadır?
APT34 farklı amaçlarla geliştirilmiş olan ve güvenlik uzmanları tarafından da kullanılan araç ve yazılımların yanı sıra, çeşitli arka kapı (backdoor) yazılımları da kullanmaktadır. Hedef sistemde kalıcılığı sağlamak veya bir sistemden diğerini sıçramak için farklı özelliklere sahip zararlı yazılımlar grup tarafından kullanılmaktadır.
TONEDAF: Komutları almak ve yürütmek için Komut ve Kontrol (C&C veya C2) sunucusuyla HTTP aracılığıyla iletişim kuran bir arka kapıdır (backdoor).
VALUEVAULT: Yerleşik bir tarayıcı kimlik bilgisi hırsızlığı aracıdır.
LONGWATCH: WinNTProgram.exe adı altında C&C’de bulunur. Tüm tuş, klavye vuruşlarını bir log.txt dosyasına kaydeden bir tuş kaydedicidir.
PICKPOCKET: Sunucuda hem 64 hem de 32 bit varyantlarında bulunan PICKPOCKET, kullanıcının web sitesi oturum açma kimlik bilgilerini Chrome, Firefox ve Internet Explorer’dan dökmek için tasarlanmış bir kimlik bilgisi hırsızlığı aracıdır. Aracın daha önce bir Mandiant olayında kullanıldığı gözlemlenmiştir ve bugüne kadar yalnızca APT34 tarafından kullanılmıştır.
POWRUNER: C2 sunucusuna komutlar gönderip alan bir PowerShell betiğidir(script) .
BONDUPDATER: PowerShell arka kapısıdır (backdoor). İlk olarak Kasım 2017’de bir Orta Doğu devlet kuruluşunun hedeflendiği bir siber olayda görülmüştür. Yine 2018 yılının Ağustos ayında bir devlet kuruluşuna yönelik gerçekleştirilen hedefli kimlik avı e-postaları kullanılarak yapılan bir saldırıda güncel bir versiyonun kullanıldığı görülmüştür.
QUADAGENT: APT34 tarafından kullanılan bir PowerShell arka kapısıdır (backdoor).
APT34 Tarafından Kullanılan Saldırı Vektörleri Nelerdir?
Her APT grubu gibi APT34 de hedeflerine saldırırken benzer vektörler kullanmaktadır. Kullanılan saldırı vektörleri APT34’ün karakteristik özelliklerini oluşturmaktadır. Bugüne kadar OILRIG tarafından gerçekleştirilen siber saldırılarda yaygın olarak kullanılan atak vektörleri aşağıdaki tabloda verilmiştir.
| TAKTİK ADI | TAKTİK ID | AÇIKLAMA |
|---|---|---|
| Discovery | T1087 | APT34, hedef sistemdeki kullanıcı hesaplarını keşfetmek için “net user, net user/domain, net /group ‘domain admins’ /domain ve net groups ‘domain admins’/” komutlarını sıklıkla kullanmıştır. |
| T1046 | Ağ tabanlı keşif çalışmaları için SoftPerfect Ağ Tarayıcısı ve GOLDIRONY araçlarını kullanmıştır. | |
| T1201 | Bir etki alanının parola ilkesini bulmak için net user / domain içeren bir komut dosyasında net.exe’yi kullanmıştır. | |
| T1069 .001 | Güvenliği ihlal edilen sistemlerde yerel yöneticileri bulmak için net groups yöneticilerini kullanmıştır. | |
| T1069.002 | Domain grubu izin ayarlarını bulmak için net group / domain, net group ‘domain admins’/ domain ve net grubu “Exchange Trusted Subsystem” / domain kullanmıştır. | |
| T1012 | Kayıt defterini sorgulamak için kurbanda “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default” reg sorgusunu kullanmıştır. | |
| T1082 – T1016 – T1033 – T1057 | Kurban makine üzerinde hostname ve systeminfo, ipconfig, whoami, tasklist komutlarını çalıştırmıştır. | |
| T1049 | Ağ bağlantılarının bir listesini almak için bir kurbanın makinesinde “netstat -an” komutu kullanmıştır. | |
| T1007 | Hizmetler hakkında bilgi toplamak için bir kurbanın makinesinde “sc query” kullanmıştır. | |
| Command and Control | T1071 .001 | APT34 komutlarını yürütmek için bir http komuta kontrol sunucusu kullanmıştır. |
| T1071.004 | Grup tarafından komuta kontrol işlemlerinde kullanmak için DNS kullanılmıştır. | |
| T1573 .002 | Plink yardımcı programı ve diğer araçlar C2 sunucularına tüneller oluşturmak için kullanılmıştır. | |
| T1008 | APT34 zararlı yazılımı ISMAgent, C2 sunucusuna HTTP üzerinden erişemezse, DNS tünelleme mekanizmasına geri döner. | |
| T1105 | Uzak dosyaları kurban sistemlere indirmiştir. | |
| Credential Access | T1110 | Kimlik bilgilerini elde etmek için kaba kuvvet tekniklerini kullanmıştır. |
| T1003 | Güvenliği ihlal edilen sistemde ve Outlook Web Access’te oturum açan hesapların kimlik bilgilerini çalmak için LaZagne, Mimikatz gibi kimlik bilgisi dökümü araçlarını kullanmıştır. | |
| T1555.003 | Web tarayıcılarından şifreleri dökmek için VALUEVAULT ve PICKPOCKET adlı araçları kullanmıştır. | |
| T1056 .001 | KEYPUNCH ve LONGWATCH adlı keylogging araçlarını kullanmıştır. | |
| Execution | T1059 | Yürütme için çeşitli komut dosyası türleri kullanmıştır. |
| T1059.001 | Dosya içeriklerinin kodunu çözmek, bir makro kullanmak, PowerShell komutu çalıştırmak için PowerShell komut dosyalarını kullanmıştır. | |
| T1059.003 | QUADAGENT ve OopsIE gibi kötü amaçlı yazılımları dağıtmak için makrolar kullanmıştır. | |
| T1204 .002 | Sistemdeki payloadı çalıştırmak için hedeflerin “içeriği etkinleştir” düğmesine tıklamasını gerektiren makro özellikli belgeler teslim etmiştir. | |
| T1204.001 | Hedef sistemde yürütmeyi sağlamak için kötü amaçlı bağlantılar sağlamıştır. | |
| T1047 | Yürütme için WMI kullanmıştır. | |
| Defense Evasion | T1140 | APT34 makrosu, dosya içeriklerinin kodunu çözmek için bir PowerShell komutu çalıştırmıştır. Ayrıca kurbanlarda base64 kodlu dosyaların kodunu çözmek için certutil’i kullanmıştır. |
| T1070 .004 | APT34 zararlı kodu çalıştırdıktan sonra kod ile ilişkili olan ve artık gerek kalmayan dosyaları antivirüs yazılımlarını atlamak için silmiştir. | |
| T1027 | Base64 kullanımı da dahil olmak üzere verileri zararlı yazılımla şifrelemiş ve kodlamıştır. | |
| T1027.005 | AV tespitini belirlemek için zararlı yazılım örneklerini test etmiştir ve daha sonra AV kaçaklığını sağlamak için örnekleri değiştirmiştir. | |
| T1078 | Bir kurban ağındaki diğer sistemlere erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanmıştır. | |
| Exfiftration | T1048 .003 | DNS üzerinden birincil C2 kanalından ayrı olarak FTP üzerinden veri sızdırmıştır. |
| Persistence | T1133 | Bir ortamda kalmak için VPN, Citrix veya OWA gibi uzak hizmetleri kullanır. |
| T1137.004 | Kalıcılık için Outlook Giriş Sayfası özelliğini kötüye kullanmıştır. Ana Sayfanın kötüye kullanımına karşı koruma sağlamak için tasarlanan ilk yamayı geri almak için CVE-2017-11774’ü de kullanmıştır. | |
| T1566 .001 | Güvenliği ihlal edilmiş ve / veya sahte e-posta hesapları kullanarak potansiyel kurbanlara kötü amaçlı ekler içeren aldatıcı e-postalar göndermiştir. | |
| T1566.003 | Kimlik avı bağlantıları göndermek için Linkedin’ı kullanmıştır. | |
| T1053 .005 | Kurban makinelerde bir payload çalıştırmak için bir VBScript çalıştıran zamanlanmış görevler oluşturmuştur. | |
| T1218 .001 | Zararlı yazılım yüklemek ve yürütmek için bir CHM payload kullanmıştır. | |
| T1552 .001 | Bir kurban ağındaki diğer sistemlere erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanmıştır. | |
| Lateral Movement | T1021.004 | SSH/Telnet programı olan Putty’yi risk altındaki sistemlere erişmek için kullanmıştır. |
| T1021.001 | Yatay hareket için Uzak Masaüstü Protokolünü (RDP) kullandı. Grup ayrıca RDP’yi ortama tüneller oluşturmak için kullanmıştır. | |
| Collection | T1119 | Dahili verileri toplamak için otomatik toplama teknikleri kullanmıştır. |
| T1056.001 | KEYPUNCH ve LONGWATCH adlı keylogger araçlarını kullanmıştır. | |
| T1113 | Kullanıcının masaüstünün ekran görüntüsünü yakalamak için CANDYKING adlı bir araca sahiptir. |
APT34 İçin IOC Bilgileri
APT34’e ait olan zararlı yazılımlara, URL adreslerine, IP adreslerine ve daha fazlasına ilişkin bilgiler aşağıda yer almaktadır.
APT34 İle İlişkili Dosyalar
| Dosya Adı | MD5 Hash |
|---|---|
| CVE-2017-11882 exploit document | A0E6933F4E0497269620F44A083B2ED4 |
| b.txt | 9267D057C065EA7448ACA1511C6F29C7 |
| v.txt/v.vbs | B2D13A336A3EB7BD27612BE7D4E334DF |
| dUpdateCheckers.base | 4A7290A279E6F2329EDD0615178A11FF |
| hUpdateCheckers.base | 841CE6475F271F86D0B5188E4F8BC6DB |
| cUpdateCheckers.bat | 52CA9A7424B3CC34099AD218623A0979 |
| dUpdateCheckers.ps1 | BBDE33F5709CB1452AB941C08ACC775E |
| hUpdateCheckers.ps1 | 247B2A9FCBA6E9EC29ED818948939702 |
| GoogleUpdateschecker.vbs | C87B0B711F60132235D7440ADD0360B0 |
| CVE-2017-0199 exploit document | 63D66D99E46FB93676A4F475A65566D8 |
| v7-hpserver.online.hta | E6AC6F18256C4DDE5BF06A9191562F82 |
| dUpdateCheckers.base | 3C63BFF9EC0A340E0727E5683466F435 |
| hUpdateCheckers.base | EEB0FF0D8841C2EBE643FE328B6D9EF5 |
| cUpdateCheckers.bat | FB464C365B94B03826E67EABE4BF9165 |
| dUpdateCheckers.ps1 | 635ED85BFCAAB7208A8B5C730D3D0A8C |
| hUpdateCheckers.ps1 | 13B338C47C52DE3ED0B68E1CB7876AD2 |
| googleupdateschecker.vbs | DBFEA6154D4F9D7209C1875B2D5D70D5 |
| dupdatechecker.doc | D85818E82A6E64CA185EDFDDBA2D1B76 |
| dupdatechecker.exe | C9F16F0BE8C77F0170B9B6CE876ED7FB |
| v7-anyportals.hta | EAF3448808481FB1FDBB675BC5EA24DE |
| dUpdateCheckers.base | 42449DD79EA7D2B5B6482B6F0D493498 |
| hUpdateCheckers.base | A3FCB4D23C3153DD42AC124B112F1BAE |
| dUpdateCheckers.ps1 | EE1C482C41738AAA5964730DCBAB5DFF |
| hUpdateCheckers.ps1 | E516C3A3247AF2F2323291A670086A8F |
APT34 İle Domain Bilgileri
| Domain | Açıklama |
|---|---|
| hxxp://mumbai-m[.]site | POWRUNER C2 |
| hxxp://dns-update[.]club | Malware Staging Server |
| proxycheker[.]pro | C2 |
| hpserver[.]online | C2 |
| anyportals[.]com | C2 |
APT34 İle İlişkili IP Adresleri
| IP Adresi | Açıklama |
|---|---|
| 46.105.221.247 | Has resolved mumbai-m[.]site & hpserver[.]online |
| 148.251.55.110 | Has resolved mumbai-m[.]site and dns-update[.]club |
| 185.15.247.147 | Has resolved dns-update[.]club |
| 145.239.33.100 | Has resolved dns-update[.]club |
| 82.102.14.219 | Has resolved ns2.dns-update[.]club & hpserver[.]online & anyportals[.]com |
| 94.23.172.164:80 | Malware Staging Server |
APT34 Tarafından Türkiye’ye Gerçekleştirilen Saldırı
APT34, 2016’nın ekim ayında Türkiye’ye oltalama saldırısında bulumuştur. Excel dosyasına zararlı yazılım yerleştirerek bu excel dosyasını mail yoluyla hedeflerine göndermiştir. Users.xls dosyası çalıştırıldığında ve makrolar etkinleştirildiğinde, kurbana aşağıdaki sahte belge sunulur.
Aşağıdaki ise Türkiye Saldırısındaki Webshell URL adresleridir:
APT34’ün Sızdırılan Verileri
Nisan 2019’da APT34’ün siber casusluk araçlarının kaynak kodları Lab Dookhtegan adlı bir hacker grubu tarafından Telegram aracılığı ile sızdırılmıştır.
Ayrıca Lab Dookhtegan, APT34 üyeleri tarafından kullanılan ana bilgisayarlarda depolanan verileri imha etmiştir. Aşağıdaki belge içeriği ekran görüntüleri, önceki spekülasyonun doğru olduğunu kanıtlamaktadır.
Orta Doğu Saldırı hedefleri:
Bazı saldırı araçları:
APT34’e Ait Bazı Faaliyetler
Mayıs 2016: Kimlik avı (Phising) e-postaları göndererek ve arka kapı (backdoor) enjekte etmek için Office makro güvenlik açığından yararlanarak Orta Doğu ülkelerine saldırılar yapmıştır.
Ekim 2016: Helminth arka kapısını (backdoor) kullanarak Katar, Türkiye, İsrail ve Amerika Birleşik Devletleri’ne saldırılar yapmıştır.
Ocak 2017: Oxford Üniversitesi adına kötü amaçlı yazılım gönderimi yaparak İsrail finans ve posta kuruluşlarına saldırılar yapmıştır.
Nisan 2017: Antivirüs yazılımlarının tespit sistemlerini atlatabilmek amacıyla saldırı vektörlerini güncellemiştir. Araştırmacılar, saldırıların iyi organize edilmiş ve oldukça profesyonel olduğunu doğrulamıştır.
Temmuz 2017: Arka kapı (backdoor) sunmak için ISMDoor’un bir çeşidi olan ISMAgent aracını güncellemiştir.
Ekim 2017: ISMInjector olarak bilinen ISMAgent truva atını (trojan) dağıtmak ve yüklemek için Agent Injector geliştirmiştir.
Aralık 2017: Microsoft Office güvenlik açığını (CVE-2017-11882) kullanarak Orta Doğu ülkelerine yönelik saldırılar yapmıştır.
Ocak 2018: OopsIE kullanrak Orta Doğudaki sigorta ve finans kurumlarına saldırılar yapmıştır.
Mayıs 2018: Powershell arka kapısını (QUADAGENT) kullanarak Orta Doğu ülkelerine yönelik saldırılar yapmış ve çalınan kullanıcı adı/parola çiftlerini kullanarak bir hükümet görevlisinin kimliğine bürünmüştür.