İran Bağlantılı Tehdit Aktörlerinden Yeni Operasyon: Cavern Zararlı Yazılımı İsrail’i Hedef Alıyor

İran İstihbaratına bağlı çalışan bir hack grubu (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji firmalarını hedef almak için “Cavern” adında yepyeni ve çok gelişmiş bir siber silah kullanmaya başladı.

Saldırı Nasıl Gerçekleşiyor?

  1. Güven Zincirini Kırmak: Hackerlar doğrudan hedefe saldırmak yerine, önce hedefin hizmet aldığı BT (Bilişim) şirketlerini ele geçiriyor. Buradan asıl hedefin sistemine zıplıyorlar.
  2. Yazılım Güncellemesi Oyunu: Şirketlerin kullandığı yasal bir yazılım güncelleme özelliğini istismar ederek sisteme sızıyorlar ve virüslü dosyaları (uxtheme.dll) yüklüyorlar.
  3. Analizden Kaçma: Bu siber silah, güvenlik uzmanları fark etmesin diye farklı yazılım dillerini ( .NET Framework ve Native AOT) harmanlayarak kendini gizliyor.

İran Bağlantılı Tehdit Aktörlerinden İsrail’e “Cavern” Operasyonu

İran bağlantılı olduğu değerlendirilen bir tehdit grubunun (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji şirketlerini hedef almak amacıyla “Cavern” adı verilen yeni bir zararlı yazılım çerçevesi kullandığı bildirildi.

Saldırı Nasıl Gerçekleşiyor?

Güven Zincirinin Kırılması

Tehdit aktörleri, doğrudan hedef kuruluşlara saldırmak yerine öncelikle hedeflerin hizmet aldığı BT (Bilişim Teknolojileri) şirketlerini ele geçirerek bu kuruluşlar üzerinden asıl hedefin sistemlerine erişim sağlamaya çalışıyor.

Yazılım Güncelleme Mekanizmasının İstismarı

Araştırmalara göre saldırganlar, kuruluşların kullandığı meşru yazılım güncelleme özelliklerini istismar ederek sistemlere sızıyor ve kötü amaçlı DLL dosyaları (uxtheme.dll) yüklüyor.

Analizden Kaçınma Teknikleri

Cavern’in, güvenlik analizlerini zorlaştırmak amacıyla farklı geliştirme teknolojilerini (.NET Framework ve Native AOT) bir arada kullandığı belirtiliyor.

Zararlı Yazılım Sistemde Neler Yapabiliyor?

Sisteme erişim sağlandıktan sonra ihtiyaçlara göre farklı işlevlere sahip modüller indirilebiliyor:

  • Dosya Toplama ve Aktarma: Dosyaları arayabiliyor, sıkıştırabiliyor ve dış sistemlere aktarabiliyor.
  • Veritabanı Erişimi: SQL veritabanlarındaki verilere erişebiliyor ve belirli işlemler gerçekleştirebiliyor.
  • Sistem Keşfi: Ağdaki kullanıcıları ve ayrıcalıklı hesapları tespit edebiliyor.
  • Ağ Taraması: Ağ üzerindeki diğer sistemleri ve açık portları belirleyebiliyor.
  • Tünelleme: Uzaktan erişim ve iletişim amacıyla gizli bağlantı kanalları oluşturabiliyor.

Dikkat Çeken Bir Teknik

Araştırmacılar, tehdit aktörlerinin bazı kuruluşlarda veri aktarım kısıtlamalarını aşmak amacıyla uzak masaüstü bağlantılarındaki yazdırma özelliklerini kötüye kullanarak veri dışa aktarımı gerçekleştirmiş olabileceğini değerlendiriyor.

Büyük Resim

Araştırmalara göre aynı grup, yakın dönemde internete açık 12 binden fazla sistemdeki güvenlik açıklarını (SmarterMail, n8n, Laravel ve benzeri platformlar) taradı. Bu faaliyetlerin; İsrail, Mısır ve Birleşik Arap Emirlikleri’ndeki havacılık, enerji ve kamu sektörlerini hedef alan siber casusluk ve veri toplama operasyonlarıyla ilişkilendirildiği bildiriliyor.

Related Posts

Savunma Sanayiinde Kuantum Hamlesi: Türkiye’nin Stratejik Yol Haritası Açıklandı

Savunma Sanayii Başkanlığı (SSB) tarafından başlatılan “Kuantum Programı” ile Türkiye’nin bu alandaki stratejik vizyonu ve yol haritası resmen duyuruldu. SSB Başkanı Haluk Görgün’ün de vurguladığı üzere, kuantum teknolojileri artık sadece…

15 Yıldır Fark Edilmeyen Linux Açığı Ortaya Çıktı: GhostLock Root Yetkisi Kazandırabiliyor

Siber güvenlik araştırmacıları, yaklaşık 15 yıldır Linux çekirdeğinde bulunan kritik bir güvenlik açığını ortaya çıkardı. CVE-2026-43499 olarak takip edilen ve GhostLock adı verilen açık, yerel erişime sahip saldırganların sistemde root…

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir