Özellikle İran karşıtı kurum çalışanlarının hassas kişisel verilerinin peşinde olan APT39; Chafer, REMIX KITTEN ve COBALT HICKMAN gibi isimlerle anılmaktadır. İran çıkarlarını gözeterek siber espiyonaj çalışmaları yürüten APT grubu daha önce Türkiye’yi de hedef almıştır. APT39’ın Türkiye’ye karşı gerçekleştirdiği saldırıda MechaFlounder adındaki python payload’ını kullandığı değerlendirilmektedir.

APT39 Kimdir?

APT39 kurum personellerinin kişisel bilgilerini ele geçirmeye odaklanan bir APT grubu olmasıyla diğer tehdit gruplarından ayrılmaktadır. Son derece sofistike bir tehdit aktörü olan Cobalt Hickman (APT39), İran çıkarlarında hareket ederek daha çok veri toplama üzerine odaklanmıştır. Özellikle İran yanlısı bir tutumla hedef sektörlerindeki firmalarla ilgili verileri toplamaktadır. Topladığı kişisel verileri mevcut operasyonunda ek erişim vektörleri olarak veya ileri tarihli bir saldırıda potansiyel araç olarak kullanmaktadır.

APT39 Hangi Ülkeler Tarafından Desteklenmektedir?

Chafer, takma adından da anlaşılacağı üzere İran destekli bir APT grubudur. 2014 yılından beri İran yanlısı bir tutum sergileyerek aktif olarak operasyonlarda bulunmaktadır. Grubun en dikkat çeken ve ayırt edici özelliği ise “kimdir” bölümünde bahsedildiği üzere kişisel bilgilere odaklanmış olmasıdır.

apt39 iran

 

Özellikle İran için tehlike arz eden veya ele geçirildiğinde değerli olabilecek her türlü kişisel bilgiye ait kişi ve kurumlar grup tarafından hedef alınmaktadır.

 

APT39’un Hedef Sektörleri Nelerdir?

APT39 global hedefler barındırsa da özellikle Orta Doğu’ya yoğunlaşmıştır. Orta Doğu’da İran çıkarlarını gözeterek saldırılarda bulunan grup özellikle şu sektörleri hedef almaktadır:

  • Seyahat endüstrisi ve bu endüstride hizmet veren BT şirketleri
  • Telekomünikasyon şirketleri
  • Gelişmiş teknoloji endüstrisi

APT

 

 

APT39 Hangi Zararlı Yazılımları Kullanmaktadır?

APT39 farklı amaçlarla geliştirilmiş olan ve güvenlik uzmanları tarafından da kullanılan araç ve yazılımların yanında çeşitli arka kapı (backdoor) yazılımlarını da kullanmaktadır. Hedef sistemde kalıcılığı sağlamak veya bir sistemden diğerini sıçramak için farklı özelliklere sahip zararlı yazılımlar grup tarafından kullanılmaktadır. Spesifik olarak adı APT39 ile birlikte anlılan zararlı yazılımlar ise POWBAT arka kapısının çeşitli varyantları, SEAWEED ve CACHEMONEY adlı arka kapı yazılımlarıdır. 

APT39 tarafından gerçekleştirilen saldırıların farklı aşamalarında kullanılan zararlı yazılımlar aşağıda yer almaktadır

  • ASPXSpy: Sızılan sunucuda kalıcılığı (persistence) sağlamak amacıyla kullanılmaktadır.
  • Cadelspy: Hedef sisteme sızdıktan sonra daha çok bilgi toplama aşamasında kullanılmaktadır. Keylogging, mikrofon dinleme, kopyalanan pano verilerini ele geçirme, sızılan sisteme bağlı cihaz ve bileşenleri öğrenme gibi özellikleri bulunmaktadır
  • CrackMapExec: Yerel ağda mevcut domain kullanıcılarını tespit etmek ve kaba kuvvet saldırıları gerçekleştirmek amacıyla kullanılmıştır. Kullanıcı bilgilerini ele geçirmek (SAM aracılığıyla), ağ konfigürasyonunu ve ağdaki diğer sistemleri listelemek gibi özelliklere sahiptir.
  • MechaFlounder: Sızılan sistemde komut çalıştırmak ve ele geçirilen verileri komuta kontrol (C2 – Comamnd and Control) sunucusuna iletmek için kullanılmaktadır.
  • Mimikatz: Kullanıcı hesap bilgilerini bellekten çıkarmak, bu bilgileri manipüle ederek yetkisiz erişim sağlamak ve web tarayıcılarının önbelleğinden daha önce kullanılan kullanıcı adı ve parolaları ele geçirmek için kullanılmıştır. 
  • PsExec: Sızılan sistemde komut çalıştırmak, SMB paylaşımlarına erişmek ve yatayda hareket ederken saldırı sırasında kullanılan veya kullanılması planlanan araçları taşımak için tercih edilmiştir.
  • pwdump: Yine CrackMapExec gibi SAM dosyasından kullanıcı hesaplarını ele geçirmek amacıyla kullanılmıştır.
  • Remexi: Ağ trafiğine erişmek, sistemde çalışan uygulamaları tespit etmek ve Windows komutları çalıştırmak gibi amaçlar için kullanılmıştır. Bununla birlikte Remexi keylogging, anlık ekran görüntüsü alma ve dosya ve dizin keşfi için de kullanılmaktadır.

 

APT39 Tarafından Kullanılan Saldırı Vektörleri Nelerdir?

Her APT grubu gibi APT39 da hedeflerine saldırırken benzer vektörler kullanmaktadır. Kullanılan saldırı vektörleri APT39’un karakteristik özelliklerini oluşturmaktadır. Bugüne kadar Chafer tarafından gerçekleştirilen siber saldırılarda yaygın olarak kullanılan atak vektörleri aşağıdaki tabloda verilmiştir.

              TAKTİK ADI TAKTİK ID AÇIKLAMA
              Initial Access T1190 İnternetten veri alan sistemlere hata oluşturabilecek istekler göndermiş ve sistemde karışıklığa neden olmaya çalışmıştır.
              T1566.001 Kişiye özel hazırlanan zararlı ek içeren e-postalar mesajları kullanılarak (spearphishing) hedef sisteme sızmıştır.
              T1566.002 Zararlı dosya içeren e-posta mesajlarının yanında zararlı link içeren mesajlar kullanarak oltalama saldırıları gerçekleştirmiştir.
              T1078 Kurban sisteme erişim sağlamak için mevcut kullanıcıların kullanıcı adı ve parola gibi kimlik bilgileri kullanmıştır.
              Execution T1059 İç ağda keşif yapmak için oluşturulan özel komut dosyaları kullanmıştır.
              T1059.001 Zararlı kodları çalıştırmak için PowerShell kullanmıştır.
              T1059.006 Python ile özel olarak geliştirilen ve ağda tarama yapan araçlar kullanmıştır.
              T1053.003

               

              Kalıcılığı sağlamak için zamanlanmış görev komutları kullanılmıştır.
              T1569.002 Uzaktan komut çalıştırmak için kullanılan RemCom gibi araçları çalıştırmak için sistem servislerini kullanmıştır.
              T1024.001 Spearphishing gerçekleştirmek için zararlı bağlantılar kullanmıştır.
              T1024.002 Spearphishing gerçekleştirmek için zararlı dosyalar kullanmıştır.
              Persistence T1547.001 APT39 sisteme sızdıktan sonra komut çalıştırabilmesini sağlayan zararlı işlemini “başlangıç” klasörüne ekleyerek sistem her başlatıldığında çalıştırılmasını sağlamıştır.
              T1547.009 Başlangıç klasörüne eklenen servisle birlikte konfigüre çalışan kısayollar oluşturmuş veya var olan kısayollar düzenlemiştir.
              T1136.001 Ağ genelinde geçiş yapabilmek ve kalıcılığı sağlamak için yerel kullanıcı hesapları oluşturulmuştur.
              T1053 Kalıcılığı sağlamak amacıyla zamanlanmış görevler kullanmıştır.
              T1505.003 ANTAK ve ASPXSPY webshelleri grup tarafından tercih edilmiştir.
              T1078 Grup ele geçirdiği Outlook hesaplarını farklı amaçlar için kullanmıştır.
              Privilege Escalation T1047.001 Grup tarafından yetki yükseltme işlemi sağlayacak program veya servisleri başlangıç klasörüne eklemiştir.
              T1547.009 Yetki yükseltebilmek için kısayollar modifiye edilmiştir.
              T1078 Yüksek haklara sahip kullanıcıların hesabına geçilerek yetki yükseltme işlemi gerçekleştirmiştir.
              Defense Evasion T1036.005 APT grubu tarafından savunma mekanizmalarını atlatmak ve komuta kontrol sunucusuyla iletişim kurabilmek için resmi bir McAfee dosyası olan mfevtps.exe taklit edilmiştir.
              T1027.002 Remix Kitten tarafından Mimikatz’ın değiştirilmiş bir sürümü karmaşıklaştırma tekniği kullanılarak paketlenmiştir. Böylelikle anti-virüs sitemleri atlatılmıştır.
              T1078 Savunma mekanizmalarını atlatmak için sistemde kayıtlı olan ve anomali olarak algılanmayan resmi kullanıcıların hesaplarını ele geçirmiştir.
              Credential Access T1110 Grup kimlik bilgilerini ele geçirmek için Ncrack adlı araçtan faydalanmıştır.
              T1556 Kullanıcı parolalarını ele geçirmek için pano (kopyala-yapıştır verilerinin tutulduğu alan) verilerini okuyabilen araçlar kullanmıştır.
              T1056.001 Kullanıcı bilgilerini ele geçirmek için klavye girdilerini tespit edebilen araçlar kullanmıştır.
              T1003 APT grubu kullanıcı verilerini ele geçirmek amacıyla Mimikatz’ın değiştirilmiş bir versiyonunu kullanmıştır.
              T1003.001 Grup LSASS hafızasından kimlik bilgilerini ele geçirmek için Mimikatz’ın yanında, Windows Credential Editor ve ProcDump gibi araçları da kullanmıştır
              Discovery T1046 Ağ taraması yapmak için CrackMapExec ve BLUTETORCH adlı özel bir araç kullanmıştır.
              T1135 APT39 ağ paylaşımlarını tespit etmek için CrackMapExec’den yararlanmıştır.
              T1018 Grup uzakta bulunan diğer sistemleri tespit etmek için nbtscan adlı bir araçla birlikte özel bir araç daha kullanmıştır
              T1033 Sistemde var olan kullanıcıları tespit etmek için Remixi adındaki bir aracı kullanmıştır.
              Lateral Movement T1021.001 APT grubu yanal hareket edebilmek ve sistemlerde kalıcılık sağlayabilmek için RDP hizmetinden yararlanmıştır. Bazı durumlarda ise rdpwinst adlı oturum yönetim aracının kullanıldığı görülmüştür
              T1021.002 Yanal hareket için SMB kullanmıştır.
              T1021.004 Hedefleri arasında hareket etmek için SSH kullanmıştır.
              Collection T1560.001 Grup ele geçirdiği verileri kolay bir şekilde aktarmak için WinRAR ve 7-z kullanarak arşivlemiştir.
              T1115 Pano verilerini ele geçirmek için çeşitli araçlar kullanılmıştır.
              T1005 Grup sızdığı sistemden dosyaları çalmak için özel bir araçtan yararlanmıştır.
              T1056.001 Veri toplamak için klavye girdilerini tespit edebilen araçlar kullanmıştır.
              T1113 APT39, sızdığı sistemden anlık ekran görüntüsünü almak için ekran görüntüsü alma fonksiyonalitesi kullanmıştır.
              Command and Control T1071.001 APT grubu komuta kontrol sunucusuyla iletişim kurabilmek için HTTP protokolünden yararlanmıştır.
              T1071.004 APT grubu komuta kontrol sunucusuyla iletişim kurabilmek için DNS’den yararlanmıştır.
              T1105 Sızılan sistemde özgürce hareket edebilmek ve veri çalabilmek için özel araçlar C2 sunucusu kullanılarak hedef sistemde indirilmiştir.
              T1090.001 APT39, ele geçirilen sistemler arasında hareket edebilmek için SOCK5 proxy ve özel olarak geliştirdiği bir proxy kullanmıştır.
              T1090.002 C2 sunucusuyla iletişim kurmak için çeşitli proxyler kullanmıştır.
              T1102.002 APT39, C2 ile iletişim kurmak için DropBox’a yüklediği dosyalardan da yararlanmıştır.

               

              APT39 için IOC Bilgileri

              APT39’u ait olan zararlı yazılımlara, URL adreslerine, IP adreslerine ve daha fazlasına ilişkin bilgiler aşağıda yer almaktadır.

               

              MechaFlounder ile Türkiye’ye Karşı Gerçekleştirilen Saldırı

              APT39 tarafından 2018 Şubat aylarından turkiyebursları.gov[.]tr’ye gerçekleştirilen saldırıda MechaFlounder adlı bir python tabanlı payload’ın kullanıldığı tespit edilmiştir. Bu saldırıda Chafer 185.177.59[.]70 IP adresinden yürütülebilir bir dosya indirilmiştir.

              win10-update[.]com adresinden HTTP isteği ile indirilen “lsass.exe” adındaki dosya çalıştırılarak zararlı aktivitler gerçekleştirilmiştir. 

              Özetle,

              • Zararlı IP Adresi: 185.177.59[.]70
              • Zararlı Domain: win10-update[.]com
              • MechaFlounder Payload (SHA256) Hash’i: 0282b7705f13f9d9811b722f8d7ef8fef907bee2ef00bf8ec89df5e7d96d81ff

               

              APT39 İlişkili Olabilecek Sistem Aktiviteleri ve AV Uyarıları

              Symantec tarafından Chafer  ile ilişkilendirilen zararlı sistem aktiviteleri ve yazılımlar şu şekilde kodlanmaktadır:

              • Backdoor.Remexi Activity
              • Backdoor.Cadelspy Activity 2
              • Backdoor.Cadelspy
              • Backdoor.Remexi
              • Backdoor.Remexi.B

               

              APT39 ile İlişkili Domain Bilgileri

              • s224.win7-update[.]com
              • s5060.win7-update[.]com        
              • s21.win7-update[.]com
              • wsus65432.win7-update[.]com

               

              APT39 ile İlişkili IP Adresleri

              • 107.191.62[.]45
              • 94.100.21[.]213
              • 89.38.97[.]112   
              • 148.251.197[.]113
              • 83.142.230[.]113
              • 87.117.204[.]113              
              • 89.38.97[.]115   
              • 87.117.204[.]115
              • 185.22.172[.]40
              • 92.243.95[.]203
              • 91.218.114[.]204
              • 86.105.227[.]224                              
              • 91.218.114[.]225
              • 134.119.217[.]84

               

              APT39 ile İlişkili Zararlı Dosya Bilgisi

              Dosya Türü Dosya Adı MD5 Hash
              Sahte Microsoft yükleyicisi Windows-KB3101246.exe 804460a4934947b5131ca79d9bd668cf
              PowerShell script dntx.ps1 5cc9ba617a8c53ae7c5cc4d23aced59d
              PowerShell script dnip.ps1 8132c61c0689dbcadf67b777f6acc9d9
              PowerShell script nsExec.dl b38561661a7164e3bbb04edc3718fe89
              Autoit script App.au3 263bc6861355553d7ff1e3848d661fb8