Site icon Siber Havadis

İran Bağlantılı Tehdit Aktörlerinden Yeni Operasyon: Cavern Zararlı Yazılımı İsrail’i Hedef Alıyor

İran Bağlantılı Tehdit Aktörlerinden Yeni Operasyon: Cavern Zararlı Yazılımı İsrail'i Hedef Alıyor

İran Bağlantılı Tehdit Aktörlerinden Yeni Operasyon: Cavern Zararlı Yazılımı İsrail'i Hedef Alıyor

İran İstihbaratına bağlı çalışan bir hack grubu (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji firmalarını hedef almak için “Cavern” adında yepyeni ve çok gelişmiş bir siber silah kullanmaya başladı.

Saldırı Nasıl Gerçekleşiyor?

  1. Güven Zincirini Kırmak: Hackerlar doğrudan hedefe saldırmak yerine, önce hedefin hizmet aldığı BT (Bilişim) şirketlerini ele geçiriyor. Buradan asıl hedefin sistemine zıplıyorlar.
  2. Yazılım Güncellemesi Oyunu: Şirketlerin kullandığı yasal bir yazılım güncelleme özelliğini istismar ederek sisteme sızıyorlar ve virüslü dosyaları (uxtheme.dll) yüklüyorlar.
  3. Analizden Kaçma: Bu siber silah, güvenlik uzmanları fark etmesin diye farklı yazılım dillerini ( .NET Framework ve Native AOT) harmanlayarak kendini gizliyor.

İran Bağlantılı Tehdit Aktörlerinden İsrail’e “Cavern” Operasyonu

İran bağlantılı olduğu değerlendirilen bir tehdit grubunun (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji şirketlerini hedef almak amacıyla “Cavern” adı verilen yeni bir zararlı yazılım çerçevesi kullandığı bildirildi.

Saldırı Nasıl Gerçekleşiyor?

Güven Zincirinin Kırılması

Tehdit aktörleri, doğrudan hedef kuruluşlara saldırmak yerine öncelikle hedeflerin hizmet aldığı BT (Bilişim Teknolojileri) şirketlerini ele geçirerek bu kuruluşlar üzerinden asıl hedefin sistemlerine erişim sağlamaya çalışıyor.

Yazılım Güncelleme Mekanizmasının İstismarı

Araştırmalara göre saldırganlar, kuruluşların kullandığı meşru yazılım güncelleme özelliklerini istismar ederek sistemlere sızıyor ve kötü amaçlı DLL dosyaları (uxtheme.dll) yüklüyor.

Analizden Kaçınma Teknikleri

Cavern’in, güvenlik analizlerini zorlaştırmak amacıyla farklı geliştirme teknolojilerini (.NET Framework ve Native AOT) bir arada kullandığı belirtiliyor.

Zararlı Yazılım Sistemde Neler Yapabiliyor?

Sisteme erişim sağlandıktan sonra ihtiyaçlara göre farklı işlevlere sahip modüller indirilebiliyor:

Dikkat Çeken Bir Teknik

Araştırmacılar, tehdit aktörlerinin bazı kuruluşlarda veri aktarım kısıtlamalarını aşmak amacıyla uzak masaüstü bağlantılarındaki yazdırma özelliklerini kötüye kullanarak veri dışa aktarımı gerçekleştirmiş olabileceğini değerlendiriyor.

Büyük Resim

Araştırmalara göre aynı grup, yakın dönemde internete açık 12 binden fazla sistemdeki güvenlik açıklarını (SmarterMail, n8n, Laravel ve benzeri platformlar) taradı. Bu faaliyetlerin; İsrail, Mısır ve Birleşik Arap Emirlikleri’ndeki havacılık, enerji ve kamu sektörlerini hedef alan siber casusluk ve veri toplama operasyonlarıyla ilişkilendirildiği bildiriliyor.

Exit mobile version