Check Point’in tehdit istihbaratı grup yöneticisi Sergey Shykevich, “Bu yalnızca ayrı Web kabukları, proxy’ler veya standart kötü amaçlı yazılımlardan ibaret değil” diye açıklıyor
“Uygun bir uç nokta korumanız varsa buna karşı savunma yapabilirsiniz” diyor Hedefler şu ana kadar İsrail, Irak, Ürdün, Kuveyt, Umman, Suudi Arabistan ve Birleşik Arap Emirlikleri’ndeki hükümet, askeri, finans, BT ve telekomünikasyon sektörlerini kapsıyordu açık kaynak Web kabuğu Tunna ”
siber-1
Foxshell’den sonra grubun en yeni ve en büyük silahı geldi: Liontail çerçevesi
Shykevich, “Son derece gizli çünkü tespit edilmesi ve önlenmesi kolay büyük bir kötü amaçlı yazılım yok” diye açıklıyor Shykevich ise bu tür gelişmiş operasyonları ortadan kaldırmak için XDR’nin önemini vurguluyor
İçinde 31 Ekim’de yayınlanan bir raporCheck Point ve Sygnia’dan araştırmacılar, kampanyayı İran’la bağlantılı “önceki faaliyetlerle karşılaştırıldığında çok daha karmaşık” olarak nitelendirdi
Zamanla grup Tunna’da yeterince değişiklik yaptı ve araştırmacılar onu “Foxshell” yeni adı altında takip etti NET tabanlı arka kapı gibi diğer araçlardan da yararlandı
Check Point tarafından “Yaralı Manticore” ve Cisco Talos tarafından “Shrouded Snooper” olarak takip edilen sorumlu grup, İran İstihbarat ve Güvenlik Bakanlığı ile bağlantılı
Aslında, Sygnia olay müdahale ekibi lideri Yoav Mazor şöyle diyor: “Bir Web kabuğu gibi davranıyor, ancak geleneksel Web kabuğu günlüklerinin hiçbiri aslında yazılmıyor Bu en iyi yoldur ”
Yaralı Manticore’un Gelişen AraçlarıScarred Manticore, en az 2019’dan beri Orta Doğu’daki yüksek değerli kuruluşların İnternet’e bakan Windows sunucularına saldırıyor ”
Aslan Kuyruğu TespitiLiontail’in en gizli özelliği, Windows HTTP yığın sürücüsü HTTP Şu ana kadar çalınan verilerin kesin niteliği kamuya açıklanmadı
İran devleti destekli bir tehdit aktörü, gizli, özelleştirilebilir bir kötü amaçlı yazılım çerçevesi kullanarak Orta Doğu’daki yüksek değerli kuruluşlar hakkında en az bir yıldır casusluk yapıyor Liontail, bellekte yerleşik olan, yani dosyasız oldukları, belleğe yazıldıkları ve bu nedenle arkalarında çok az fark edilebilir iz bıraktıkları anlamına gelen, özel kabuk kodu yükleyicileri ve kabuk kodu yüklerinden oluşan bir dizidir İlk olarak Eylül ayında Cisco Talos tarafından açıklanan kötü amaçlı yazılım, esas olarak kendisini bir Windows sunucusuna bağlayarak saldırganın belirlediği belirli URL kalıplarıyla eşleşen mesajları dinliyor, yakalıyor ve kodunu çözüyor ilk olarak Şubat 2022’de ortaya çıkarıldı ancak ilişkilendirilmedi Ünlü OilRig (diğer adıyla APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm) ile örtüşüyor ve araçlarından bazıları 2021’de Arnavutluk hükümet sistemlerine yönelik ikili fidye yazılımı ve temizleme saldırılarında gözlemlendi ”
Mazor’a göre Scarred Manticore’un ortaya çıkmasına yardımcı olan başlıca araçlar Web uygulaması güvenlik duvarları ve ağ düzeyinde dinlemeydi “Bu, hedeflerine çok özel, tam ölçekli bir çerçeve Ancak en yeni silahı — Gelen trafikten yükleri çıkarmak için HTTP Ayrıca İnternet Bilgi Hizmetleri (IIS) sunucuları için tasarlanmış
İlk günlerinde, değiştirilmiş bir versiyonunu kullanıyordu “Ağ düzeyi ile uç nokta düzeyi arasındaki korelasyonları, yani uç nokta cihazlarındaki Web kabukları ve PowerShell trafiğindeki anormallikleri arayabilirsiniz sys’ye doğrudan çağrılarla yükleri nasıl uyandırdığıdır sys sürücüsünün belgelenmemiş işlevlerinden yararlanan “Liontail” çerçevesi tamamen kendine aittir