İran Destekli APT Grubu APT34: OILRIG

APT34, İran‘ın stratejik çıkarlarına uygun olarak genellikle siber saldırılarını Orta Doğu‘ya yönelik gerçekleştirmektedir ve dolayısıyla hedefleri arasında Türkiye’de vardır. Grubun 2014 yılından itibaren aktif olduğu bildirilmektedir. Nisan 2019’da, APT34’e ait birçok bilgi telegram aracılığıyla sızdırıldı.

apt34

 

APT34 Kimdir?

APT34; aynı zamanda OILRIG, HELIX KITTEN, IRN2 gibi isimlerle de anılmaktadır. Aslında APT34 ve OILRIG olmak üzere iki ayrı grupta incelenmiştir fakat faaliyetlerinin örtüşmesi üzerine birleştirilmiştir. 2014’ten beri bir siber casusluk ve saldırılar kümelenmesi olarak aktif oldukları bilinmektedir.

 

APT34 Hangi Ülkeler Tarafından Desteklenmektedir?

APT34; İran operasyonlarına bağlı altyapı kullanımı, zamanlama ve İran’ın ulusal çıkarlarına uygun hareket etmelerinden dolayı İran kökenli bir hacker grubu olarak tanımlanmıştır. Ayrıca yine İran kökenli bir grup olan APT33 tarafından da hedef alınmış olan çoğu organizasyona yönelik saldırılar yapmıştır. Tüm bu bilgiler doğrultusunda İran altyapısının kullanımına dayalı olarak İran hükümeti adına çalıştığı değerlendirilmektedir.

iran apt

 

APT34’ün Hedef Sektörleri Nelerdir?

İran’ın jeopolitik konumuna, ekonomik ihtiyaçlarına ve stratejik çıkarlarına uygun, İran’a fayda sağlayacak bir misyonla hareket etmelerinden dolayı APT34 grubunun asıl hedef kitlesi Orta Doğu ülkeleridir. Dolayısıyla Türkiye de bu hacker grubunun hedefleri arasındadır. Orta Doğu ülkeleri dışında; ABD, İngiltere, Almanya gibi ülkeler de APT34 grubunun hedefleri arasındadır. Tehdit grubu kurum ve kuruluş olarak:

  • Finans
  • Telekomünikasyon
  • Kimya endüstrisi
  • Kritik altyapı sistemleri
  • Enerji kurumları
  • Devlet kurumları
  • Medya

gibi çeşitli alanları hedeflemiş ve faaliyetlerini genel olarak bu alana yönlendirmiştir.

apt34 saldırıları

APT34 Hangi Zararlı Yazılımları Kullanmaktadır?

APT34 farklı amaçlarla geliştirilmiş olan ve güvenlik uzmanları tarafından da kullanılan araç ve yazılımların yanı sıra, çeşitli arka kapı (backdoor) yazılımları da kullanmaktadır. Hedef sistemde kalıcılığı sağlamak veya bir sistemden diğerini sıçramak için farklı özelliklere sahip zararlı yazılımlar grup tarafından kullanılmaktadır.

TONEDAF: Komutları almak ve yürütmek için Komut ve Kontrol (C&C veya C2) sunucusuyla HTTP aracılığıyla iletişim kuran bir arka kapıdır (backdoor).

VALUEVAULT: Yerleşik bir tarayıcı kimlik bilgisi hırsızlığı aracıdır.

LONGWATCH: WinNTProgram.exe adı altında C&C’de bulunur. Tüm tuş, klavye vuruşlarını bir log.txt dosyasına kaydeden bir tuş kaydedicidir.

PICKPOCKET: Sunucuda hem 64 hem de 32 bit varyantlarında bulunan PICKPOCKET, kullanıcının web sitesi oturum açma kimlik bilgilerini Chrome, Firefox ve Internet Explorer’dan dökmek için tasarlanmış bir kimlik bilgisi hırsızlığı aracıdır. Aracın daha önce bir Mandiant olayında kullanıldığı gözlemlenmiştir ve bugüne kadar yalnızca APT34 tarafından kullanılmıştır.

POWRUNER: C2 sunucusuna komutlar gönderip alan bir PowerShell betiğidir(script) .

BONDUPDATER: PowerShell arka kapısıdır (backdoor). İlk olarak Kasım 2017’de bir Orta Doğu devlet kuruluşunun hedeflendiği bir siber olayda görülmüştür. Yine 2018 yılının Ağustos ayında bir devlet kuruluşuna yönelik gerçekleştirilen hedefli kimlik avı e-postaları kullanılarak yapılan bir saldırıda güncel bir versiyonun kullanıldığı görülmüştür.

QUADAGENT: APT34 tarafından kullanılan bir PowerShell arka kapısıdır (backdoor).

iran apt

 

APT34 Tarafından Kullanılan Saldırı Vektörleri Nelerdir?

Her APT grubu gibi APT34 de hedeflerine saldırırken benzer vektörler kullanmaktadır. Kullanılan saldırı vektörleri APT34’ün karakteristik özelliklerini oluşturmaktadır. Bugüne kadar OILRIG tarafından gerçekleştirilen siber saldırılarda yaygın olarak kullanılan atak vektörleri aşağıdaki tabloda verilmiştir.

TAKTİK ADI TAKTİK ID AÇIKLAMA
Discovery T1087 APT34, hedef sistemdeki kullanıcı hesaplarını keşfetmek için “net user, net user/domain, net /group ‘domain admins’ /domain ve net groups ‘domain admins’/” komutlarını sıklıkla kullanmıştır.
T1046 Ağ tabanlı keşif çalışmaları için SoftPerfect Ağ Tarayıcısı ve GOLDIRONY araçlarını kullanmıştır.
T1201 Bir etki alanının parola ilkesini bulmak için net user / domain içeren bir komut dosyasında net.exe’yi kullanmıştır.
T1069 .001 Güvenliği ihlal edilen sistemlerde yerel yöneticileri bulmak için net groups yöneticilerini kullanmıştır.
T1069.002 Domain grubu izin ayarlarını bulmak için net group / domain, net group ‘domain admins’/ domain ve net grubu “Exchange Trusted Subsystem” / domain kullanmıştır.
T1012 Kayıt defterini sorgulamak için kurbanda “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default” reg sorgusunu kullanmıştır.
T1082T1016T1033T1057 Kurban makine üzerinde hostname ve systeminfo, ipconfig, whoami, tasklist komutlarını çalıştırmıştır.
T1049 Ağ bağlantılarının bir listesini almak için bir kurbanın makinesinde “netstat -an” komutu kullanmıştır.
T1007 Hizmetler hakkında bilgi toplamak için bir kurbanın makinesinde “sc query” kullanmıştır.
Command and Control T1071 .001 APT34 komutlarını yürütmek için bir http komuta kontrol sunucusu kullanmıştır.
T1071.004 Grup tarafından komuta kontrol işlemlerinde kullanmak için DNS kullanılmıştır.
T1573 .002 Plink yardımcı programı ve diğer araçlar C2 sunucularına tüneller oluşturmak için kullanılmıştır.
T1008 APT34 zararlı yazılımı ISMAgent, C2 sunucusuna HTTP üzerinden erişemezse, DNS tünelleme mekanizmasına geri döner.
T1105 Uzak dosyaları kurban sistemlere indirmiştir.
Credential Access T1110 Kimlik bilgilerini elde etmek için kaba kuvvet tekniklerini kullanmıştır.
T1003 Güvenliği ihlal edilen sistemde ve Outlook Web Access’te oturum açan hesapların kimlik bilgilerini çalmak için LaZagne, Mimikatz gibi kimlik bilgisi dökümü araçlarını kullanmıştır.
T1555.003 Web tarayıcılarından şifreleri dökmek için VALUEVAULT ve PICKPOCKET adlı araçları kullanmıştır.
T1056 .001 KEYPUNCH ve LONGWATCH adlı keylogging araçlarını kullanmıştır.
Execution T1059 Yürütme için çeşitli komut dosyası türleri kullanmıştır.
T1059.001 Dosya içeriklerinin kodunu çözmek, bir makro kullanmak, PowerShell komutu çalıştırmak için PowerShell komut dosyalarını kullanmıştır.
T1059.003 QUADAGENT ve OopsIE gibi kötü amaçlı yazılımları dağıtmak için makrolar kullanmıştır.
T1204 .002 Sistemdeki payloadı çalıştırmak için hedeflerin “içeriği etkinleştir” düğmesine tıklamasını gerektiren makro özellikli belgeler teslim etmiştir.
T1204.001 Hedef sistemde yürütmeyi sağlamak için kötü amaçlı bağlantılar sağlamıştır.
T1047 Yürütme için WMI kullanmıştır.
Defense Evasion T1140 APT34 makrosu, dosya içeriklerinin kodunu çözmek için bir PowerShell komutu çalıştırmıştır. Ayrıca kurbanlarda base64 kodlu dosyaların kodunu çözmek için certutil’i kullanmıştır.
T1070 .004 APT34 zararlı kodu çalıştırdıktan sonra kod ile ilişkili olan ve artık gerek kalmayan dosyaları antivirüs yazılımlarını atlamak için silmiştir.
T1027 Base64 kullanımı da dahil olmak üzere verileri zararlı yazılımla şifrelemiş ve kodlamıştır.
T1027.005 AV tespitini belirlemek için zararlı yazılım örneklerini test etmiştir ve daha sonra AV kaçaklığını sağlamak için örnekleri değiştirmiştir.
T1078 Bir kurban ağındaki diğer sistemlere erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanmıştır.
Exfiftration T1048 .003 DNS üzerinden birincil C2 kanalından ayrı olarak FTP üzerinden veri sızdırmıştır.
Persistence T1133 Bir ortamda kalmak için VPN, Citrix veya OWA gibi uzak hizmetleri kullanır.
T1137.004 Kalıcılık için Outlook Giriş Sayfası özelliğini kötüye kullanmıştır. Ana Sayfanın kötüye kullanımına karşı koruma sağlamak için tasarlanan ilk yamayı geri almak için CVE-2017-11774’ü de kullanmıştır.
T1566 .001 Güvenliği ihlal edilmiş ve / veya sahte e-posta hesapları kullanarak potansiyel kurbanlara kötü amaçlı ekler içeren aldatıcı e-postalar göndermiştir.
T1566.003 Kimlik avı bağlantıları göndermek için Linkedin’ı kullanmıştır.
T1053 .005 Kurban makinelerde bir payload çalıştırmak için bir VBScript çalıştıran zamanlanmış görevler oluşturmuştur.
T1218 .001 Zararlı yazılım yüklemek ve yürütmek için bir CHM payload kullanmıştır.
T1552 .001 Bir kurban ağındaki diğer sistemlere erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanmıştır.
Lateral Movement T1021.004 SSH/Telnet programı olan Putty’yi risk altındaki sistemlere erişmek için kullanmıştır.
T1021.001 Yatay hareket için Uzak Masaüstü Protokolünü (RDP) kullandı. Grup ayrıca RDP’yi ortama tüneller oluşturmak için kullanmıştır.
Collection T1119 Dahili verileri toplamak için otomatik toplama teknikleri kullanmıştır.
T1056.001 KEYPUNCH ve LONGWATCH adlı keylogger araçlarını kullanmıştır.
T1113 Kullanıcının masaüstünün ekran görüntüsünü yakalamak için CANDYKING adlı bir araca sahiptir.

 

APT34 İçin IOC Bilgileri

APT34’e ait olan zararlı yazılımlara, URL adreslerine, IP adreslerine ve daha fazlasına ilişkin bilgiler aşağıda yer almaktadır.

 

APT34 İle İlişkili Dosyalar

Dosya Adı MD5 Hash
CVE-2017-11882 exploit document A0E6933F4E0497269620F44A083B2ED4
b.txt 9267D057C065EA7448ACA1511C6F29C7
v.txt/v.vbs B2D13A336A3EB7BD27612BE7D4E334DF
dUpdateCheckers.base 4A7290A279E6F2329EDD0615178A11FF
hUpdateCheckers.base 841CE6475F271F86D0B5188E4F8BC6DB
cUpdateCheckers.bat 52CA9A7424B3CC34099AD218623A0979
dUpdateCheckers.ps1 BBDE33F5709CB1452AB941C08ACC775E
hUpdateCheckers.ps1 247B2A9FCBA6E9EC29ED818948939702
GoogleUpdateschecker.vbs C87B0B711F60132235D7440ADD0360B0
CVE-2017-0199 exploit document 63D66D99E46FB93676A4F475A65566D8
v7-hpserver.online.hta E6AC6F18256C4DDE5BF06A9191562F82
dUpdateCheckers.base 3C63BFF9EC0A340E0727E5683466F435
hUpdateCheckers.base EEB0FF0D8841C2EBE643FE328B6D9EF5
cUpdateCheckers.bat FB464C365B94B03826E67EABE4BF9165
dUpdateCheckers.ps1 635ED85BFCAAB7208A8B5C730D3D0A8C
hUpdateCheckers.ps1 13B338C47C52DE3ED0B68E1CB7876AD2
googleupdateschecker.vbs DBFEA6154D4F9D7209C1875B2D5D70D5
dupdatechecker.doc D85818E82A6E64CA185EDFDDBA2D1B76
dupdatechecker.exe C9F16F0BE8C77F0170B9B6CE876ED7FB
v7-anyportals.hta EAF3448808481FB1FDBB675BC5EA24DE
dUpdateCheckers.base 42449DD79EA7D2B5B6482B6F0D493498
hUpdateCheckers.base A3FCB4D23C3153DD42AC124B112F1BAE
dUpdateCheckers.ps1 EE1C482C41738AAA5964730DCBAB5DFF
hUpdateCheckers.ps1 E516C3A3247AF2F2323291A670086A8F

 

APT34 İle Domain/URL Bilgileri

Domain Açıklama
hxxp://mumbai-m[.]site POWRUNER C2
hxxp://dns-update[.]club Malware Staging Server
proxycheker[.]pro C2
hpserver[.]online C2
anyportals[.]com C2

 

APT34 İle İlişkili IP Adresleri

IP Adresi Açıklama
46.105.221.247 Has resolved mumbai-m[.]site & hpserver[.]online
148.251.55.110 Has resolved mumbai-m[.]site and dns-update[.]club
185.15.247.147 Has resolved dns-update[.]club
145.239.33.100 Has resolved dns-update[.]club
82.102.14.219 Has resolved ns2.dns-update[.]club & hpserver[.]online & anyportals[.]com
94.23.172.164:80 Malware Staging Server

 

APT34 Tarafından Türkiye’ye Gerçekleştirilen Saldırı

APT34, 2016’nın ekim ayında Türkiye’ye oltalama saldırısında bulumuştur. Excel dosyasına zararlı yazılım yerleştirerek bu excel dosyasını mail yoluyla hedeflerine göndermiştir. Users.xls dosyası çalıştırıldığında ve makrolar etkinleştirildiğinde, kurbana aşağıdaki sahte belge sunulur.

apt saldırı

 

 

APT34’ün Sızdırılan Verileri

Nisan 2019’da APT34’ün siber casusluk araçlarının kaynak kodları Lab Dookhtegan adlı bir hacker grubu tarafından Telegram aracılığı ile sızdırılmıştır.

apt34 dosyalar

Ayrıca Lab Dookhtegan, APT34 üyeleri tarafından kullanılan ana bilgisayarlarda depolanan verileri imha etmiştir. Aşağıdaki belge içeriği ekran görüntüleri, önceki spekülasyonun doğru olduğunu kanıtlamaktadır.

Lab Dookhtegan

Orta Doğu Saldırı hedefleri:

apt atakları

Bazı saldırı araçları:

apt34

 

APT34’e Ait Bazı Faaliyetler

Mayıs 2016: Kimlik avı (Phising) e-postaları göndererek ve arka kapı (backdoor) enjekte etmek için Office makro güvenlik açığından yararlanarak Orta Doğu ülkelerine saldırılar yapmıştır.

Ekim 2016: Helminth arka kapısını (backdoor) kullanarak Katar, Türkiye, İsrail ve Amerika Birleşik Devletleri’ne saldırılar yapmıştır.

Ocak 2017: Oxford Üniversitesi adına kötü amaçlı yazılım gönderimi yaparak İsrail finans ve posta kuruluşlarına saldırılar yapmıştır.

Nisan 2017: Antivirüs yazılımlarının tespit sistemlerini atlatabilmek amacıyla saldırı vektörlerini güncellemiştir. Araştırmacılar, saldırıların iyi organize edilmiş ve oldukça profesyonel olduğunu doğrulamıştır.

Temmuz 2017: Arka kapı (backdoor) sunmak için ISMDoor’un bir çeşidi olan ISMAgent aracını güncellemiştir.

Ekim 2017: ISMInjector olarak bilinen ISMAgent truva atını (trojan) dağıtmak ve yüklemek için Agent Injector geliştirmiştir.

Aralık 2017: Microsoft Office güvenlik açığını (CVE-2017-11882) kullanarak Orta Doğu ülkelerine yönelik saldırılar yapmıştır.

Ocak 2018: OopsIE kullanrak Orta Doğudaki sigorta ve finans kurumlarına saldırılar yapmıştır.

Mayıs 2018: Powershell arka kapısını (QUADAGENT) kullanarak Orta Doğu ülkelerine yönelik saldırılar yapmış ve çalınan kullanıcı adı/parola çiftlerini kullanarak bir hükümet görevlisinin kimliğine bürünmüştür.