Türkiye, finansal amaçlı yapılan saldırıların yanı sıra konumu itibariyle Siber Espiyonaj faaliyetlerinin de hedefi oluyor. Özellikle bölgesel dinamiklerin ve politik durumların da etkisiyle, günden güne çevre ülkelerin bu alanda hedefi haline geliyor. Aşağıda yer alan ve Iran tarafından gerçekleştirilen espiyonaj faaliyeti de sadece bunlardan bir tanesi.

Bir kaç gün önce güvenlik firmalarının radarına takılan ve Iran menşeli olduğu belirlenen yeni bir “Siber Espiyonaj” faaliyeti keşfedildi. Söz konusu faaliyet ve saldırıların hedefleri arasında Katar, Suudi Arabistan gibi ülkelerin yanı sıra  Türkiye’de yer alıyor. Saldırı giriş noktası olarak oltalama tekniklerinden faydalanıyor ve hedeflenen kurum çalışanlarına bu şekilde ulaşıyor.

Aşağıda yer alan ekran görüntüsünden de anlaşılacağı üzere saldırının hedefleri arasında Türkiye’den özel sektör ve kamu kuruluşları da yer alıyor. Saldırı incelendiğinde “özellikle” devlet kurumlarının ve havayolu şirketlerinin hedef alındığı görülüyor.

Bir mail eklentisi olarak gelen MS Office / Excel dosyası açıldığında, dosyanın zararlı bir Makro içerdiği ve bu Makro içeriğinin analiz edilmesini engellemek adına şifrelendiği görülüyor.

MS Office Excel dosyası içerisinde yer alan ve şifre ile gizlenen içerik deşifre edildiğinde, disk üzerine “komisova.vbs” isimli dosyanın yazıldığı,  ve ayrıca Excel dosyası içerisinde yer alan içeriğin herhangi bir karmaşıklaştırma işlemine tabii edilmediği görülüyor.

Analiz edildiği an itibariyle Excel dosyası ile gelen ve disk üzerine oluşturulan VBS dosyası sadece 2 anti-virüs tarafından tespit edilebiliyor. VBS dosyası ve tespitlere ait sonuçlar aşağıda görüldüğü şekildedir.

Excel dosyası açıldığı anda “\USERS\Public\Libraries” dizini içerisine oluşturulan “Komisova.vbs” isimli dosya, yine Makrolar sayesinde “schtaskts” komutu ile “Planlanmış Görev” olarak sistem üzerinde “GoogleUpdateTaskReport” ismiyle tanımlanıyor. Dosya görev olarak eklendikten sonra her iki dakikada bir çalıştırılıyor.

Sistem üzerine “scheduled task” olarak eklenen “komisova.vbs” isimli dosya her çalıştığında arka planda “hxxp://googleupdate.download” isimli web sitesine bağlantı gerçekleştirdikten sonra, aynı dizine indirilen PowerShell betiği de çalıştırılıyor.

Komisova.vbs isimli dosya aracılığı ile yukarıda belirtilen adresten indirilen “komisova.ps1” isimli PowerShell betiği komuta kontrol sunucusuna (C2) bağlanmak için HTTP/HTTPS yerine DNS isteklerinden faydalanıyor. Bununla ilgili kod bloğu aşağıda yer almaktadır.

Tıpkı VBS dosyasında olduğu gibi komuta kontrol sunucusu ile iletişimi sağlayan PowerShell betiği anti-virüsler ile taratıldığında sadece 4 anti-virüsün yakaladığı gözlemleniyor. Sonuçlara dair tespitlerin yer aldığı ekran görüntüsü aşağıda yer almaktadır.

Saldırıda kullanılan domain whois bilgileri, tehdit ağı sorgularımızda bu sample dosyalarla ile ilişkili diğer domainler ve zararlı yazılımlarda geçen Farsça kelimeler,  saldırının arkasındaki aktörlerin İranlı olduğunu düşündürmektedir. Ancak yine de bu tarz verilerin zararlı yazılımlarda,  misdirection/yanlış yönlendirme için kullanılmış olabileceğini de unutmamak gerekir.

Aşağıda yer alan ekran görüntüsü saldırı anına aittir. TRAPMINE’ın zararlı içeriğe sahip dosya açılır açılmaz aldığı aksiyon görülmektedir, saldırının ikinci aşamasına geçilmeden yani C2 sunucu ile iletişim kurulmadan saldırı başarı ile engellenmektedir.

Saldırıya ait diğer detayları ve raporun tamamını buradan okuyabilirsiniz.