Charming Kitten (APT35)

• Kasım 16, 2022

Charming Kitten (APT35) olarak bilinen APT grubunun İran devleti ile bağlantılı olduğu düşünülmektedir. İnsan hakları aktivitelerine, akademik araştırmacılara ve medya kuruluşlarına karşı İran devletine Siber İstihbarat sağladığı, hedeflediği ülkeler arasında Amerika Birleşik Devletleri ve Orta Doğru ülkeleri bulunduğu değerlendirilmektedir.

Charming Kitten hedeflerden en çok bilgi toplayabileceği sistemlere erişmeye çalışmakta; kurumların kullandığı mail adresleri veya kişisel Facebook hesapları bunlardan bazılarıdır.

En Çok Dikkat Çeken Siber Saldırıları:

HBO

2017 yılında, HBO’ya yapılan bir siber saldırının ardından, gizli bilgilerin sızdırıldığı gerekçesiyle geniş çaplı bir ortak soruşturma başlatıldı. Takma adı Skote Vahshat olan bir bilgisayar korsanı tarafından yapılan açıklamaya göre fidye ödenmezse; Game of Thrones bölümleri de dahil olmak üzere televizyon bölümlerinin senaryolarının sızdırılacağı iddia edilmişti. Bir kısmı o sırada yayınlanmayan şovlar ve bölümler olan 1.5 terabayt veri sızıntısına neden olmuştur.

Amerikan Seçimlerine Müdahale

Microsoft’a göre, Ağustos ve Eylül 2019 arasındaki 30 günlük bir süre içinde Charming Kitten, hedeflenen e-posta hesaplarıyla ilgili bilgi edinmek için 2.700 girişimde bulundu. Bu, 241 saldırı ve hacklenmiş 4 hesapla sonuçlandı. Girişimin Amerika Birleşik Devletleri başkanlık kampanyasını hedeflediği düşünülse de ele geçirilen hesapların hiçbiri seçimle ilgili değildi.

Microsoft, özellikle kimin hedef alındığını açıklamadı, ancak Reuters tarafından daha sonra yayınlanan bir rapor, bunun Donald Trump’ın yeniden seçim kampanyası olduğunu iddia etti.

İran Dışişleri Bakanı Mohammad Javad Zarif “Sizin seçiminizde (Amerika Birleşik Devletleri) bu seçime müdahale etme tercihimiz yok” ve “İç seçimlere müdahale etmiyoruz” derken, İran seçime karışmaya herhangi bir müdahaleyi reddetti. Benzer kurban profilleri çok dikkat çekici; akademi, gazetecilik, insan hakları aktivizmi ve siyasi muhalefet alanlarında İran’ı ilgilendiren insanlardı.

APT-35 Tarafından Kullanılan Zararlı Yazılımlar ve Araçları

DownPaper:

Backdoor Trojen olarak kullanılan zararlı yazılımın ana hedefi 2. bir zararlı yazılımı hedef sistem içine indirmek ve çalıştırmaktır.

MITRE ATT&CK Teknikleri

Application Layer Protocol: Web Protocols (T1071):

Hedef cihaz içinden bağlantı almak için HTTP protokolü üzerinden bir C2 kullanılır.

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547) :

PowerShell ile Registry içine veri girişi yapar AutoStart özelliği ile sistem içinde kalıcılık sağlar ve her oturum açıldığında zararlı yazılım kendini otomatik olarak başlatır.

Command and Scripting Interpreter: PowerShell (T1059) :

DownPaper zararlısı sistem içinde çalışmak için PowerShell kullanır.

Query Registry (T1012) :

Eski Windows sistemleri üzerinde bulunan güvenlik zafiyetleri Exploit edilebilir olduğu için DownPaper hedef sistem içinde çalıştığı zaman eski sistemleri belirlemek için Registry üzerinden Windows Update bilgilerini okuyor.

System Owner/User Discovery (T1033):

Hedef sistem üzerinde oturum açan kullanıcı adına ait bilgilerini topluyor ve saldırganlar tarafından kullanılan C2 sunucunsa bu bilgiyi yüklüyor.

Mimikatz

Saldırganlar hedef sistem içinden Windows kullanıcı bilgilerine erişmek için kullandığı bir araç, lsass dump edilerek memory içinden dump edilen veriler Mimikatz ile anlaşılır bir veriye dönüşür.

(Kullanıcıya ait NTLM hash verisi)

PsExec

PsExec, bir yazılımı aynı ağ içinde fakat başka bir bilgisayarda çalıştırmak için kullanılabilen ücretsiz bir Microsoft aracıdır. IT yöneticileri ve saldırganlar tarafından kullanılır.

Pupy RAT

Açık kaynak kodlu uzaktan komut ve kontrol yazılımı , APT-35 tarafından Post Exploitation aracı olarak kullanılıyor. Kaynak kodu Python ile yazıldığı için Cross Platform olarak kolayca zararlı üretimi yapılabiliyor. (Windows exe, Python file, PowerShell oneliner/file, Linux elf, APK, Rubber Ducky gibi.)

MITRE ATT&CK Teknikleri

Abuse Elevation Control Mechanism: Bypass User Account Control (T1548):

User Account Control kısa adı (UAC) Windows sistemlerde olan bir güvenlik özelliğidir temel amacı yazılımların İşletim sistemi içine erişimini kısıtlamak veya çalışmasını engellemek . Pupy zararlısı eski sürüm Windows İşletim sistemlerinde UAC bypass yapabilir.

Application Layer Protocol: Web Protocols (T1071):

Zararlı yazılım hedef sistem içinde çalıştığı zaman APT-35 grubuna ait bir komuta kontrol sunucusu ile HTTP üzerinden sürekli olarak iletişim kurar.

Audio Capture (T1123):

Pupy cihaz içinde bulunan mikrofon üzerinden ses kaydı yapabilir.

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547):

Pupy zararlısı kendini Registryde “SOFTWARE\Microsoft\Windows\CurrentVersion\Run” içine yükler ve böylece bulaştığı sistem içinde kalıcılık (persistence) özelliği sağlar.

Credentials from Password Stores (T1555) :

Web Browser ve Windows Credentials içinde kayıtlı bulunan şifreleri text formatında alabilir bu işlem için Lazagne isimli açık kaynak kodlu aracı kullanır.

Exfiltration Over C2 Channel (T1041):

Hedef cihaz içinden Dosya Çalma (Data Exfiltration) işlemi gerçekleştirir bu veriyi APT-35 grubuna ait server içine yükler.

Input Capture: Keylogging (T1056):

Kullanıcı bilgilerini çalmak için Keylogger özelliğini kullanır.

Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay (T1557):

Ağ içinden MITM saldırısı ile kullanıcı şifrelerini veya Browser verilerini çalmayı hedefler.

OS Credential Dumping: LSASS Memory (T1003):

Hedef sistem üzerinden LSASS dump işlemi gerçekleştirip memory içinden Mimikatz aracı ile şifre çalma işlemi gerçekleştirir.

PupyRAT Zararlısı Yayılma Tekniği

Windows Office ile gelen Macro özelliği bir çok zararlı yazılım tarafından kullanılır , Macro ile zararlı yazılım Word,Excel veya PowerPoint formatında genellikle Phishing teknikleri de kullanılıp sistem içinde zararlı yazılım çalıştırır.

(MD5: 1b5e33e5a244d2d67d7a09c4ccf16e56)

APT35 ilişkili IOC Bilgileri