Webinar’a Katılın | Siber Tehditlere Karşı Güçlü Koruma

İran Destekli APT Grubu APT34: OILRIG

APT34, İran‘ın stratejik çıkarlarına uygun olarak genellikle siber saldırılarını Orta Doğu‘ya yönelik gerçekleştirmektedir ve dolayısıyla hedefleri arasında Türkiye’de vardır. Grubun 2014 yılından itibaren aktif olduğu bildirilmektedir. Nisan 2019’da, APT34’e ait birçok bilgi telegram aracılığıyla sızdırıldı.

APT34 Kimdir?

APT34; aynı zamanda OILRIG, HELIX KITTEN, IRN2 gibi isimlerle de anılmaktadır. Aslında APT34 ve OILRIG olmak üzere iki ayrı grupta incelenmiştir fakat faaliyetlerinin örtüşmesi üzerine birleştirilmiştir. 2014’ten beri bir siber casusluk ve saldırılar kümelenmesi olarak aktif oldukları bilinmektedir.

APT34 Hangi Ülkeler Tarafından Desteklenmektedir?

APT34; İran operasyonlarına bağlı altyapı kullanımı, zamanlama ve İran’ın ulusal çıkarlarına uygun hareket etmelerinden dolayı İran kökenli bir hacker grubu olarak tanımlanmıştır. Ayrıca yine İran kökenli bir grup olan APT33 tarafından da hedef alınmış olan çoğu organizasyona yönelik saldırılar yapmıştır. Tüm bu bilgiler doğrultusunda İran altyapısının kullanımına dayalı olarak İran hükümeti adına çalıştığı değerlendirilmektedir.

 

APT34’ün Hedef Sektörleri Nelerdir?

İran’ın jeopolitik konumuna, ekonomik ihtiyaçlarına ve stratejik çıkarlarına uygun, İran’a fayda sağlayacak bir misyonla hareket etmelerinden dolayı APT34 grubunun asıl hedef kitlesi Orta Doğu ülkeleridir. Dolayısıyla Türkiye de bu hacker grubunun hedefleri arasındadır. Orta Doğu ülkeleri dışında; ABD, İngiltere, Almanya gibi ülkeler de APT34 grubunun hedefleri arasındadır. Tehdit grubu kurum ve kuruluş olarak:

  • Finans
  • Telekomünikasyon
  • Kimya endüstrisi
  • Kritik altyapı sistemleri
  • Enerji kurumları
  • Devlet kurumları
  • Medya

gibi çeşitli alanları hedeflemiş ve faaliyetlerini genel olarak bu alana yönlendirmiştir.

APT34 Hangi Zararlı Yazılımları Kullanmaktadır?

APT34 farklı amaçlarla geliştirilmiş olan ve güvenlik uzmanları tarafından da kullanılan araç ve yazılımların yanı sıra, çeşitli arka kapı (backdoor) yazılımları da kullanmaktadır. Hedef sistemde kalıcılığı sağlamak veya bir sistemden diğerini sıçramak için farklı özelliklere sahip zararlı yazılımlar grup tarafından kullanılmaktadır.

TONEDAF: Komutları almak ve yürütmek için Komut ve Kontrol (C&C veya C2) sunucusuyla HTTP aracılığıyla iletişim kuran bir arka kapıdır (backdoor).

VALUEVAULT: Yerleşik bir tarayıcı kimlik bilgisi hırsızlığı aracıdır.

LONGWATCH: WinNTProgram.exe adı altında C&C’de bulunur. Tüm tuş, klavye vuruşlarını bir log.txt dosyasına kaydeden bir tuş kaydedicidir.

PICKPOCKET: Sunucuda hem 64 hem de 32 bit varyantlarında bulunan PICKPOCKET, kullanıcının web sitesi oturum açma kimlik bilgilerini Chrome, Firefox ve Internet Explorer’dan dökmek için tasarlanmış bir kimlik bilgisi hırsızlığı aracıdır. Aracın daha önce bir Mandiant olayında kullanıldığı gözlemlenmiştir ve bugüne kadar yalnızca APT34 tarafından kullanılmıştır.

POWRUNER: C2 sunucusuna komutlar gönderip alan bir PowerShell betiğidir(script) .

BONDUPDATER: PowerShell arka kapısıdır (backdoor). İlk olarak Kasım 2017’de bir Orta Doğu devlet kuruluşunun hedeflendiği bir siber olayda görülmüştür. Yine 2018 yılının Ağustos ayında bir devlet kuruluşuna yönelik gerçekleştirilen hedefli kimlik avı e-postaları kullanılarak yapılan bir saldırıda güncel bir versiyonun kullanıldığı görülmüştür.

QUADAGENT: APT34 tarafından kullanılan bir PowerShell arka kapısıdır (backdoor).

APT34 Tarafından Kullanılan Saldırı Vektörleri Nelerdir?

Her APT grubu gibi APT34 de hedeflerine saldırırken benzer vektörler kullanmaktadır. Kullanılan saldırı vektörleri APT34’ün karakteristik özelliklerini oluşturmaktadır. Bugüne kadar OILRIG tarafından gerçekleştirilen siber saldırılarda yaygın olarak kullanılan atak vektörleri aşağıdaki tabloda verilmiştir.

TAKTİK ADITAKTİK IDAÇIKLAMA
DiscoveryT1087APT34, hedef sistemdeki kullanıcı hesaplarını keşfetmek için “net user, net user/domain, net /group ‘domain admins’ /domain ve net groups ‘domain admins’/” komutlarını sıklıkla kullanmıştır.
T1046Ağ tabanlı keşif çalışmaları için SoftPerfect Ağ Tarayıcısı ve GOLDIRONY araçlarını kullanmıştır.
T1201Bir etki alanının parola ilkesini bulmak için net user / domain içeren bir komut dosyasında net.exe’yi kullanmıştır.
T1069 .001Güvenliği ihlal edilen sistemlerde yerel yöneticileri bulmak için net groups yöneticilerini kullanmıştır.
T1069.002Domain grubu izin ayarlarını bulmak için net group / domain, net group ‘domain admins’/ domain ve net grubu “Exchange Trusted Subsystem” / domain kullanmıştır.
T1012Kayıt defterini sorgulamak için kurbanda “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default” reg sorgusunu kullanmıştır.
T1082T1016T1033T1057Kurban makine üzerinde hostname ve systeminfo, ipconfig, whoami, tasklist komutlarını çalıştırmıştır.
T1049Ağ bağlantılarının bir listesini almak için bir kurbanın makinesinde “netstat -an” komutu kullanmıştır.
T1007Hizmetler hakkında bilgi toplamak için bir kurbanın makinesinde “sc query” kullanmıştır.
Command and ControlT1071 .001APT34 komutlarını yürütmek için bir http komuta kontrol sunucusu kullanmıştır.
T1071.004Grup tarafından komuta kontrol işlemlerinde kullanmak için DNS kullanılmıştır.
T1573 .002Plink yardımcı programı ve diğer araçlar C2 sunucularına tüneller oluşturmak için kullanılmıştır.
T1008APT34 zararlı yazılımı ISMAgent, C2 sunucusuna HTTP üzerinden erişemezse, DNS tünelleme mekanizmasına geri döner.
T1105Uzak dosyaları kurban sistemlere indirmiştir.
Credential AccessT1110Kimlik bilgilerini elde etmek için kaba kuvvet tekniklerini kullanmıştır.
T1003Güvenliği ihlal edilen sistemde ve Outlook Web Access’te oturum açan hesapların kimlik bilgilerini çalmak için LaZagne, Mimikatz gibi kimlik bilgisi dökümü araçlarını kullanmıştır.
T1555.003Web tarayıcılarından şifreleri dökmek için VALUEVAULT ve PICKPOCKET adlı araçları kullanmıştır.
T1056 .001KEYPUNCH ve LONGWATCH adlı keylogging araçlarını kullanmıştır.
ExecutionT1059Yürütme için çeşitli komut dosyası türleri kullanmıştır.
T1059.001Dosya içeriklerinin kodunu çözmek, bir makro kullanmak, PowerShell komutu çalıştırmak için PowerShell komut dosyalarını kullanmıştır.
T1059.003QUADAGENT ve OopsIE gibi kötü amaçlı yazılımları dağıtmak için makrolar kullanmıştır.
T1204 .002Sistemdeki payloadı çalıştırmak için hedeflerin “içeriği etkinleştir” düğmesine tıklamasını gerektiren makro özellikli belgeler teslim etmiştir.
T1204.001Hedef sistemde yürütmeyi sağlamak için kötü amaçlı bağlantılar sağlamıştır.
T1047Yürütme için WMI kullanmıştır.
Defense EvasionT1140APT34 makrosu, dosya içeriklerinin kodunu çözmek için bir PowerShell komutu çalıştırmıştır. Ayrıca kurbanlarda base64 kodlu dosyaların kodunu çözmek için certutil’i kullanmıştır.
T1070 .004APT34 zararlı kodu çalıştırdıktan sonra kod ile ilişkili olan ve artık gerek kalmayan dosyaları antivirüs yazılımlarını atlamak için silmiştir.
T1027Base64 kullanımı da dahil olmak üzere verileri zararlı yazılımla şifrelemiş ve kodlamıştır.
T1027.005AV tespitini belirlemek için zararlı yazılım örneklerini test etmiştir ve daha sonra AV kaçaklığını sağlamak için örnekleri değiştirmiştir.
T1078Bir kurban ağındaki diğer sistemlere erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanmıştır.
ExfiftrationT1048 .003DNS üzerinden birincil C2 kanalından ayrı olarak FTP üzerinden veri sızdırmıştır.
PersistenceT1133Bir ortamda kalmak için VPN, Citrix veya OWA gibi uzak hizmetleri kullanır.
T1137.004Kalıcılık için Outlook Giriş Sayfası özelliğini kötüye kullanmıştır. Ana Sayfanın kötüye kullanımına karşı koruma sağlamak için tasarlanan ilk yamayı geri almak için CVE-2017-11774’ü de kullanmıştır.
T1566 .001Güvenliği ihlal edilmiş ve / veya sahte e-posta hesapları kullanarak potansiyel kurbanlara kötü amaçlı ekler içeren aldatıcı e-postalar göndermiştir.
T1566.003Kimlik avı bağlantıları göndermek için Linkedin’ı kullanmıştır.
T1053 .005Kurban makinelerde bir payload çalıştırmak için bir VBScript çalıştıran zamanlanmış görevler oluşturmuştur.
T1218 .001Zararlı yazılım yüklemek ve yürütmek için bir CHM payload kullanmıştır.
T1552 .001Bir kurban ağındaki diğer sistemlere erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanmıştır.
Lateral MovementT1021.004SSH/Telnet programı olan Putty’yi risk altındaki sistemlere erişmek için kullanmıştır.
T1021.001Yatay hareket için Uzak Masaüstü Protokolünü (RDP) kullandı. Grup ayrıca RDP’yi ortama tüneller oluşturmak için kullanmıştır.
CollectionT1119Dahili verileri toplamak için otomatik toplama teknikleri kullanmıştır.
T1056.001KEYPUNCH ve LONGWATCH adlı keylogger araçlarını kullanmıştır.
T1113Kullanıcının masaüstünün ekran görüntüsünü yakalamak için CANDYKING adlı bir araca sahiptir.

APT34 İçin IOC Bilgileri

APT34’e ait olan zararlı yazılımlara, URL adreslerine, IP adreslerine ve daha fazlasına ilişkin bilgiler aşağıda yer almaktadır.

APT34 İle İlişkili Dosyalar

Dosya AdıMD5 Hash
CVE-2017-11882 exploit documentA0E6933F4E0497269620F44A083B2ED4
b.txt9267D057C065EA7448ACA1511C6F29C7
v.txt/v.vbsB2D13A336A3EB7BD27612BE7D4E334DF
dUpdateCheckers.base4A7290A279E6F2329EDD0615178A11FF
hUpdateCheckers.base841CE6475F271F86D0B5188E4F8BC6DB
cUpdateCheckers.bat52CA9A7424B3CC34099AD218623A0979
dUpdateCheckers.ps1BBDE33F5709CB1452AB941C08ACC775E
hUpdateCheckers.ps1247B2A9FCBA6E9EC29ED818948939702
GoogleUpdateschecker.vbsC87B0B711F60132235D7440ADD0360B0
CVE-2017-0199 exploit document63D66D99E46FB93676A4F475A65566D8
v7-hpserver.online.htaE6AC6F18256C4DDE5BF06A9191562F82
dUpdateCheckers.base3C63BFF9EC0A340E0727E5683466F435
hUpdateCheckers.baseEEB0FF0D8841C2EBE643FE328B6D9EF5
cUpdateCheckers.batFB464C365B94B03826E67EABE4BF9165
dUpdateCheckers.ps1635ED85BFCAAB7208A8B5C730D3D0A8C
hUpdateCheckers.ps113B338C47C52DE3ED0B68E1CB7876AD2
googleupdateschecker.vbsDBFEA6154D4F9D7209C1875B2D5D70D5
dupdatechecker.docD85818E82A6E64CA185EDFDDBA2D1B76
dupdatechecker.exeC9F16F0BE8C77F0170B9B6CE876ED7FB
v7-anyportals.htaEAF3448808481FB1FDBB675BC5EA24DE
dUpdateCheckers.base42449DD79EA7D2B5B6482B6F0D493498
hUpdateCheckers.baseA3FCB4D23C3153DD42AC124B112F1BAE
dUpdateCheckers.ps1EE1C482C41738AAA5964730DCBAB5DFF
hUpdateCheckers.ps1E516C3A3247AF2F2323291A670086A8F

APT34 İle Domain Bilgileri

DomainAçıklama
hxxp://mumbai-m[.]sitePOWRUNER C2
hxxp://dns-update[.]clubMalware Staging Server
proxycheker[.]proC2
hpserver[.]onlineC2
anyportals[.]comC2

APT34 İle İlişkili IP Adresleri

IP AdresiAçıklama
46.105.221.247Has resolved mumbai-m[.]site & hpserver[.]online
148.251.55.110Has resolved mumbai-m[.]site and dns-update[.]club
185.15.247.147Has resolved dns-update[.]club
145.239.33.100Has resolved dns-update[.]club
82.102.14.219Has resolved ns2.dns-update[.]club & hpserver[.]online & anyportals[.]com
94.23.172.164:80Malware Staging Server

APT34 Tarafından Türkiye’ye Gerçekleştirilen Saldırı

APT34, 2016’nın ekim ayında Türkiye’ye oltalama saldırısında bulumuştur. Excel dosyasına zararlı yazılım yerleştirerek bu excel dosyasını mail yoluyla hedeflerine göndermiştir. Users.xls dosyası çalıştırıldığında ve makrolar etkinleştirildiğinde, kurbana aşağıdaki sahte belge sunulur.

Aşağıdaki ise Türkiye Saldırısındaki Webshell URL adresleridir:

APT34’ün Sızdırılan Verileri

Nisan 2019’da APT34’ün siber casusluk araçlarının kaynak kodları Lab Dookhtegan adlı bir hacker grubu tarafından Telegram aracılığı ile sızdırılmıştır.

Ayrıca Lab Dookhtegan, APT34 üyeleri tarafından kullanılan ana bilgisayarlarda depolanan verileri imha etmiştir. Aşağıdaki belge içeriği ekran görüntüleri, önceki spekülasyonun doğru olduğunu kanıtlamaktadır.

Orta Doğu Saldırı hedefleri:

Bazı saldırı araçları:

APT34’e Ait Bazı Faaliyetler

Mayıs 2016: Kimlik avı (Phising) e-postaları göndererek ve arka kapı (backdoor) enjekte etmek için Office makro güvenlik açığından yararlanarak Orta Doğu ülkelerine saldırılar yapmıştır.

Ekim 2016: Helminth arka kapısını (backdoor) kullanarak Katar, Türkiye, İsrail ve Amerika Birleşik Devletleri’ne saldırılar yapmıştır.

Ocak 2017: Oxford Üniversitesi adına kötü amaçlı yazılım gönderimi yaparak İsrail finans ve posta kuruluşlarına saldırılar yapmıştır.

Nisan 2017: Antivirüs yazılımlarının tespit sistemlerini atlatabilmek amacıyla saldırı vektörlerini güncellemiştir. Araştırmacılar, saldırıların iyi organize edilmiş ve oldukça profesyonel olduğunu doğrulamıştır.

Temmuz 2017: Arka kapı (backdoor) sunmak için ISMDoor’un bir çeşidi olan ISMAgent aracını güncellemiştir.

Ekim 2017: ISMInjector olarak bilinen ISMAgent truva atını (trojan) dağıtmak ve yüklemek için Agent Injector geliştirmiştir.

Aralık 2017: Microsoft Office güvenlik açığını (CVE-2017-11882) kullanarak Orta Doğu ülkelerine yönelik saldırılar yapmıştır.

Ocak 2018: OopsIE kullanrak Orta Doğudaki sigorta ve finans kurumlarına saldırılar yapmıştır.

Mayıs 2018: Powershell arka kapısını (QUADAGENT) kullanarak Orta Doğu ülkelerine yönelik saldırılar yapmış ve çalınan kullanıcı adı/parola çiftlerini kullanarak bir hükümet görevlisinin kimliğine bürünmüştür.

 

Kategoriler Makaleler