İran Destekli APT Grubu APT39: Chafer
Özellikle İran karşıtı kurum çalışanlarının hassas kişisel verilerinin peşinde olan APT39; Chafer, REMIX KITTEN ve COBALT HICKMAN gibi isimlerle anılmaktadır. İran çıkarlarını gözeterek siber espiyonaj çalışmaları yürüten APT grubu daha önce Türkiye’yi de hedef almıştır. APT39’ın Türkiye’ye karşı gerçekleştirdiği saldırıda MechaFlounder adındaki python payload’ını kullandığı değerlendirilmektedir.
APT39 Kimdir?
APT39 kurum personellerinin kişisel bilgilerini ele geçirmeye odaklanan bir APT grubu olmasıyla diğer tehdit gruplarından ayrılmaktadır. Son derece sofistike bir tehdit aktörü olan Cobalt Hickman (APT39), İran çıkarlarında hareket ederek daha çok veri toplama üzerine odaklanmıştır. Özellikle İran yanlısı bir tutumla hedef sektörlerindeki firmalarla ilgili verileri toplamaktadır. Topladığı kişisel verileri mevcut operasyonunda ek erişim vektörleri olarak veya ileri tarihli bir saldırıda potansiyel araç olarak kullanmaktadır.
APT39 Hangi Ülkeler Tarafından Desteklenmektedir?
Chafer, takma adından da anlaşılacağı üzere İran destekli bir APT grubudur. 2014 yılından beri İran yanlısı bir tutum sergileyerek aktif olarak operasyonlarda bulunmaktadır. Grubun en dikkat çeken ve ayırt edici özelliği ise “kimdir” bölümünde bahsedildiği üzere kişisel bilgilere odaklanmış olmasıdır.
Özellikle İran için tehlike arz eden veya ele geçirildiğinde değerli olabilecek her türlü kişisel bilgiye ait kişi ve kurumlar grup tarafından hedef alınmaktadır.
APT39’un Hedef Sektörleri Nelerdir?
APT39 global hedefler barındırsa da özellikle Orta Doğu’ya yoğunlaşmıştır. Orta Doğu’da İran çıkarlarını gözeterek saldırılarda bulunan grup özellikle şu sektörleri hedef almaktadır:
- Seyahat endüstrisi ve bu endüstride hizmet veren BT şirketleri
- Telekomünikasyon şirketleri
- Gelişmiş teknoloji endüstrisi
APT39 Hangi Zararlı Yazılımları Kullanmaktadır?
APT39 farklı amaçlarla geliştirilmiş olan ve güvenlik uzmanları tarafından da kullanılan araç ve yazılımların yanında çeşitli arka kapı (backdoor) yazılımlarını da kullanmaktadır. Hedef sistemde kalıcılığı sağlamak veya bir sistemden diğerini sıçramak için farklı özelliklere sahip zararlı yazılımlar grup tarafından kullanılmaktadır. Spesifik olarak adı APT39 ile birlikte anlılan zararlı yazılımlar ise POWBAT arka kapısının çeşitli varyantları, SEAWEED ve CACHEMONEY adlı arka kapı yazılımlarıdır.
APT39 tarafından gerçekleştirilen saldırıların farklı aşamalarında kullanılan zararlı yazılımlar aşağıda yer almaktadır
- ASPXSpy: Sızılan sunucuda kalıcılığı (persistence) sağlamak amacıyla kullanılmaktadır.
- Cadelspy: Hedef sisteme sızdıktan sonra daha çok bilgi toplama aşamasında kullanılmaktadır. Keylogging, mikrofon dinleme, kopyalanan pano verilerini ele geçirme, sızılan sisteme bağlı cihaz ve bileşenleri öğrenme gibi özellikleri bulunmaktadır.
- CrackMapExec: Yerel ağda mevcut domain kullanıcılarını tespit etmek ve kaba kuvvet saldırıları gerçekleştirmek amacıyla kullanılmıştır. Kullanıcı bilgilerini ele geçirmek (SAM aracılığıyla), ağ konfigürasyonunu ve ağdaki diğer sistemleri listelemek gibi özelliklere sahiptir.
- MechaFlounder: Sızılan sistemde komut çalıştırmak ve ele geçirilen verileri komuta kontrol (C2 – Comamnd and Control) sunucusuna iletmek için kullanılmaktadır.
- Mimikatz: Kullanıcı hesap bilgilerini bellekten çıkarmak, bu bilgileri manipüle ederek yetkisiz erişim sağlamak ve web tarayıcılarının önbelleğinden daha önce kullanılan kullanıcı adı ve parolaları ele geçirmek için kullanılmıştır.
- PsExec: Sızılan sistemde komut çalıştırmak, SMB paylaşımlarına erişmek ve yatayda hareket ederken saldırı sırasında kullanılan veya kullanılması planlanan araçları taşımak için tercih edilmiştir.
- pwdump: Yine CrackMapExec gibi SAM dosyasından kullanıcı hesaplarını ele geçirmek amacıyla kullanılmıştır.
- Remexi: Ağ trafiğine erişmek, sistemde çalışan uygulamaları tespit etmek ve Windows komutları çalıştırmak gibi amaçlar için kullanılmıştır. Bununla birlikte Remexi keylogging, anlık ekran görüntüsü alma ve dosya ve dizin keşfi için de kullanılmaktadır.
APT39 Tarafından Kullanılan Saldırı Vektörleri Nelerdir?
Her APT grubu gibi APT39 da hedeflerine saldırırken benzer vektörler kullanmaktadır. Kullanılan saldırı vektörleri APT39’un karakteristik özelliklerini oluşturmaktadır. Bugüne kadar Chafer tarafından gerçekleştirilen siber saldırılarda yaygın olarak kullanılan atak vektörleri aşağıdaki tabloda verilmiştir.
NOT:
Tablo görseldeki formatta olacaktır, drive yapıyı bozuyor.
| TAKTİK ADI | TAKTİK ID | AÇIKLAMA |
|---|---|---|
| Initial Access | T1190 | İnternetten veri alan sistemlere hata oluşturabilecek istekler göndermiş ve sistemde karışıklığa neden olmaya çalışmıştır. |
| T1566.001 | Kişiye özel hazırlanan zararlı ek içeren e-postalar mesajları kullanılarak (spearphishing) hedef sisteme sızmıştır. | |
| T1566.002 | Zararlı dosya içeren e-posta mesajlarının yanında zararlı link içeren mesajlar kullanarak oltalama saldırıları gerçekleştirmiştir. | |
| T1078 | Kurban sisteme erişim sağlamak için mevcut kullanıcıların kullanıcı adı ve parola gibi kimlik bilgileri kullanmıştır. | |
| Execution | T1059 | İç ağda keşif yapmak için oluşturulan özel komut dosyaları kullanmıştır. |
| T1059.001 | Zararlı kodları çalıştırmak için PowerShell kullanmıştır. | |
| T1059.006 | Python ile özel olarak geliştirilen ve ağda tarama yapan araçlar kullanmıştır.
| |
| T1053.003
| Kalıcılığı sağlamak için zamanlanmış görev komutları kullanılmıştır. | |
| T1569.002 | Uzaktan komut çalıştırmak için kullanılan RemCom gibi araçları çalıştırmak için sistem servislerini kullanmıştır. | |
| T1024.001 | Spearphishing gerçekleştirmek için zararlı bağlantılar kullanmıştır. | |
| T1024.002 | Spearphishing gerçekleştirmek için zararlı dosyalar kullanmıştır. | |
| Persistence | T1547.001 | APT39 sisteme sızdıktan sonra komut çalıştırabilmesini sağlayan zararlı işlemini “başlangıç” klasörüne ekleyerek sistem her başlatıldığında çalıştırılmasını sağlamıştır. |
| T1547.009 | Başlangıç klasörüne eklenen servisle birlikte konfigüre çalışan kısayollar oluşturmuş veya var olan kısayollar düzenlemiştir. | |
| T1136.001 | Ağ genelinde geçiş yapabilmek ve kalıcılığı sağlamak için yerel kullanıcı hesapları oluşturulmuştur. | |
| T1053 | Kalıcılığı sağlamak amacıyla zamanlanmış görevler kullanmıştır. | |
| T1505.003 | ANTAK ve ASPXSPY webshelleri grup tarafından tercih edilmiştir. | |
| T1078 | Grup ele geçirdiği Outlook hesaplarını farklı amaçlar için kullanmıştır. | |
| Privilege Escalation | T1047.001 | Grup tarafından yetki yükseltme işlemi sağlayacak program veya servisleri başlangıç klasörüne eklemiştir. |
| T1547.009 | Yetki yükseltebilmek için kısayollar modifiye edilmiştir. | |
| T1078 | Yüksek haklara sahip kullanıcıların hesabına geçilerek yetki yükseltme işlemi gerçekleştirmiştir. | |
| Defense Evasion | T1036.005 | APT grubu tarafından savunma mekanizmalarını atlatmak ve komuta kontrol sunucusuyla iletişim kurabilmek için resmi bir McAfee dosyası olan mfevtps.exe taklit edilmiştir. |
| T1027.002 | Remix Kitten tarafından Mimikatz’ın değiştirilmiş bir sürümü karmaşıklaştırma tekniği kullanılarak paketlenmiştir. Böylelikle anti-virüs sitemleri atlatılmıştır. | |
| T1078 | Savunma mekanizmalarını atlatmak için sistemde kayıtlı olan ve anomali olarak algılanmayan resmi kullanıcıların hesaplarını ele geçirmiştir. | |
| Credential Access | T1110 | Grup kimlik bilgilerini ele geçirmek için Ncrack adlı araçtan faydalanmıştır. |
| T1556 | Kullanıcı parolalarını ele geçirmek için pano (kopyala-yapıştır verilerinin tutulduğu alan) verilerini okuyabilen araçlar kullanmıştır. | |
| T1056.001 | Kullanıcı bilgilerini ele geçirmek için klavye girdilerini tespit edebilen araçlar kullanmıştır. | |
| T1003 | APT grubu kullanıcı verilerini ele geçirmek amacıyla Mimikatz’ın değiştirilmiş bir versiyonunu kullanmıştır. | |
| T1003.001 | Grup LSASS hafızasından kimlik bilgilerini ele geçirmek için Mimikatz’ın yanında, Windows Credential Editor ve ProcDump gibi araçları da kullanmıştır | |
| Discovery | T1046 | Ağ taraması yapmak için CrackMapExec ve BLUTETORCH adlı özel bir araç kullanmıştır. |
| T1135 | APT39 ağ paylaşımlarını tespit etmek için CrackMapExec’den yararlanmıştır. | |
| T1018 | Grup uzakta bulunan diğer sistemleri tespit etmek için nbtscan adlı bir araçla birlikte özel bir araç daha kullanmıştır | |
| T1033 | Sistemde var olan kullanıcıları tespit etmek için Remixi adındaki bir aracı kullanmıştır. | |
| Lateral Movement | T1021.001 | APT grubu yanal hareket edebilmek ve sistemlerde kalıcılık sağlayabilmek için RDP hizmetinden yararlanmıştır. Bazı durumlarda ise rdpwinst adlı oturum yönetim aracının kullanıldığı görülmüştür |
| T1021.002 | Yanal hareket için SMB kullanmıştır. | |
| T1021.004 | Hedefleri arasında hareket etmek için SSH kullanmıştır. | |
| Collection | T1560.001 | Grup ele geçirdiği verileri kolay bir şekilde aktarmak için WinRAR ve 7-z kullanarak arşivlemiştir. |
| T1115 | Pano verilerini ele geçirmek için çeşitli araçlar kullanılmıştır. | |
| T1005 | Grup sızdığı sistemden dosyaları çalmak için özel bir araçtan yararlanmıştır. | |
| T1056.001 | Veri toplamak için klavye girdilerini tespit edebilen araçlar kullanmıştır. | |
| T1113 | APT39, sızdığı sistemden anlık ekran görüntüsünü almak için ekran görüntüsü alma fonksiyonalitesi kullanmıştır. | |
| Command and Control | T1071.001 | APT grubu komuta kontrol sunucusuyla iletişim kurabilmek için HTTP protokolünden yararlanmıştır. |
| T1071.004 | APT grubu komuta kontrol sunucusuyla iletişim kurabilmek için DNS’den yararlanmıştır. | |
| T1105 | Sızılan sistemde özgürce hareket edebilmek ve veri çalabilmek için özel araçlar C2 sunucusu kullanılarak hedef sistemde indirilmiştir. | |
| T1090.001 | APT39, ele geçirilen sistemler arasında hareket edebilmek için SOCK5 proxy ve özel olarak geliştirdiği bir proxy kullanmıştır. | |
| T1090.002 | C2 sunucusuyla iletişim kurmak için çeşitli proxyler kullanmıştır. | |
| T1102.002 | APT39, C2 ile iletişim kurmak için DropBox’a yüklediği dosyalardan da yararlanmıştır. |
APT39 için IOC Bilgileri
APT39’u ait olan zararlı yazılımlara, URL adreslerine, IP adreslerine ve daha fazlasına ilişkin bilgiler aşağıda yer almaktadır.
MechaFlounder ile Türkiye’ye Karşı Gerçekleştirilen Saldırı
APT39 tarafından 2018 Şubat aylarından turkiyebursları.gov[.]tr’ye gerçekleştirilen saldırıda MechaFlounder adlı bir python tabanlı payload’ın kullanıldığı tespit edilmiştir. Bu saldırıda Chafer 185.177.59[.]70 IP adresinden yürütülebilir bir dosya indirilmiştir.
win10-update[.]com adresinden HTTP isteği ile indirilen “lsass.exe” adındaki dosya çalıştırılarak zararlı aktivitler gerçekleştirilmiştir.
Özetle,
Zararlı IP Adresi: 185.177.59[.]70
Zararlı Domain: win10-update[.]com
MechaFlounder Payload (SHA256) Hash’i: 0282b7705f13f9d9811b722f8d7ef8fef907bee2ef00bf8ec89df5e7d96d81ff
APT39 İlişkili Olabilecek Sistem Aktiviteleri ve AV Uyarıları
Symantec tarafından Chafer ile ilişkilendirilen zararlı sistem aktiviteleri ve yazılımlar şu şekilde kodlanmaktadır:
- Backdoor.Remexi Activity
- Backdoor.Cadelspy Activity 2
- Backdoor.Cadelspy
- Backdoor.Remexi
- Backdoor.Remexi.B
APT39 ile İlişkili Domain Bilgileri
- s224.win7-update[.]com
- s5060.win7-update[.]com
- s21.win7-update[.]com
- wsus65432.win7-update[.]com
APT39 ile İlişkili IP Adresleri
- 107.191.62[.]45
- 94.100.21[.]213
- 89.38.97[.]112
- 148.251.197[.]113
- 83.142.230[.]113
- 87.117.204[.]113
- 89.38.97[.]115
- 87.117.204[.]115
- 185.22.172[.]40
- 92.243.95[.]203
- 91.218.114[.]204
- 86.105.227[.]224
- 91.218.114[.]225
- 134.119.217[.]84
APT39 ile İlişkili Zararlı Dosya Bilgisi
| Dosya Türü | Dosya Adı | MD5 Hash |
|---|---|---|
| Sahte Microsoft yükleyicisi | Windows-KB3101246.exe | 804460a4934947b5131ca79d9bd668cf |
| PowerShell script | dntx.ps1 | 5cc9ba617a8c53ae7c5cc4d23aced59d |
| PowerShell script | dnip.ps1 | 8132c61c0689dbcadf67b777f6acc9d9 |
| PowerShell script | nsExec.dl | b38561661a7164e3bbb04edc3718fe89 |
| Autoit script | App.au3 | 263bc6861355553d7ff1e3848d661fb8 |