APT33

APT33, siber casusluk ve potansiyel olarak yıkıcı operasyonlar yoluyla havacılık, enerji ve savunma sektörlerini hedef aldığı bilinen ve en az 2013'ten beri aktif olan İran devlet destekli bir tehdit grubudur.

Kuruluşunuz APT33'ün Saldırılarına Karşı Güvende mi?

APT33'ün kökeni

HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten ve Peach Sandstorm olarak da bilinen PT33, en az 2013 yılından beri aktif olan devlet destekli bir İran tehdit grubudur. Grubun İran Devrim Muhafızları Ordusu (IRGC) ile bağlantılı olduğundan şüphelenilmekte ve siber casusluk ve muhtemelen yıkıcı operasyonlar yürüterek İran'ın stratejik hedeflerini desteklediğine inanılmaktadır. APT33, özellikle hedef ortamlara erişim sağlamak için genellikle Microsoft teknolojilerinden yararlanan spearphishing, özel malware ve genel saldırı güvenlik araçlarını kullanmasıyla bilinmektedir.

APT33 tarafından hedef alınan ülkeler

APT33 operasyonları öncelikli olarak Amerika Birleşik Devletleri, Suudi Arabistan, Birleşik Arap Emirlikleri ve Güney Kore'yi hedef almıştır. Bu ülkeler Orta Doğu'da siyasi ve ekonomik açıdan önemli ülkelerdir ve genellikle İran'ın dış politikasına karşı muhalefeti temsil etmektedirler. Siber faaliyetler aynı zamanda kritik altyapı ve teknolojik gelişmeler hakkında istihbarat toplamak için de tasarlanmış olabilir.

APT33 tarafından hedeflenen sektörler

APT33 havacılık, enerji, savunma, mühendislik ve sanayi sektörlerindeki kuruluşlara yoğun bir şekilde odaklanmıştır. İlgi alanları İran'ın ekonomik ve askeri hedefleriyle, özellikle de petrol ve gaz altyapısı ile bölgesel rakiplerin ve küresel rakiplerin savunma kabiliyetleriyle örtüşmektedir.

APT33'ün kurbanları

APT33 özellikle ABD'li mühendislik ve havacılık firmalarını, Suudi petrol ve enerji holdinglerini ve BAE merkezli kritik altyapı kuruluşlarını hedef almıştır. Operasyonları hem siber casusluğu hem de Shamoon malware kampanyalarıyla bağlantılı olanlar gibi potansiyel yıkıcı saldırılar için hazırlığı içeriyordu, ancak APT33'e atıf bazı durumlarda ikinci dereceden.

Saldırı Yöntemi

APT33'ün saldırı yöntemi

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

APT33 öncelikle kötü amaçlı .hta bağlantıları, kötü amaçlı dosyalar veya arşiv ekleri içeren kimlik avı e-postaları kullanır. Ayrıca Office 365 bulut hesapları da dahil olmak üzere geçerli hesapları bazen parola püskürtme yoluyla ele geçirmişlerdir.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

CVE-2017-0213 gibi açıklar yerel yükseltme için kullanılmıştır. Ayrıca, damping araçları aracılığıyla elde edilen geçerli yönetici kimlik bilgilerini kullanırlar.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Kalıcılık, kayıt defteri çalıştırma anahtarları, başlangıç klasörü dağıtımları, zamanlanmış görevler ve WMI olay abonelikleri aracılığıyla sağlanır. APT33, algılamayı atlamak için kodlanmış yükler (base64), şifrelenmiş C2 kanalları (AES), PowerShell gizleme ve özel malware çerçeveleri kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Kimlik bilgisi toplama işlemi LaZagne, Mimikatz ve SniffPass gibi araçlarla gerçekleştirilir ve tarayıcı kimlik bilgileri, LSASS belleği, GPP parolaları ve önbelleğe alınmış etki alanı kimlik bilgileri hedeflenir.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Sistemleri, ağ topolojisini ve yanal hareket için hesap ayrıcalıklarını listelemek için ortak komut dosyaları ve araçlar kullanırlar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Sistemler arasındaki hareket, toplanan kimlik bilgileri, uzak masaüstü protokolleri ve geçerli hesap erişimi kullanılarak kolaylaştırılır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Hassas dosyalar WinRAR gibi araçlar kullanılarak arşivlenir ve arka kapı implantları kullanılarak ekran görüntüleri de içerebilir.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

PowerShell, VBScript aracılığıyla veya kullanıcıları kötü amaçlı ekleri başlatmaları için kandırarak kötü amaçlı yükleri çalıştırırlar. Ayrıca CVE-2017-11774 ve CVE-2018-20250 gibi yazılım açıklarından da faydalanmışlardır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Veriler şifrelenmemiş FTP, HTTP ve HTTPS kanalları aracılığıyla, bazen de standart olmayan bağlantı noktaları (808/880) üzerinden kodlanmış yüklerle dışarı sızdırılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Öncelikli olarak casusluğa yönelik olan APT33, kesin olarak kanıtlanmamış olsa da Shamoon benzeri davranışlarla bağlantılı olarak yıkıcı operasyonlar gerçekleştirme kapasitesine sahiptir.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

APT33 öncelikle kötü amaçlı .hta bağlantıları, kötü amaçlı dosyalar veya arşiv ekleri içeren kimlik avı e-postaları kullanır. Ayrıca Office 365 bulut hesapları da dahil olmak üzere geçerli hesapları bazen parola püskürtme yoluyla ele geçirmişlerdir.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

CVE-2017-0213 gibi açıklar yerel yükseltme için kullanılmıştır. Ayrıca, damping araçları aracılığıyla elde edilen geçerli yönetici kimlik bilgilerini kullanırlar.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Kalıcılık, kayıt defteri çalıştırma anahtarları, başlangıç klasörü dağıtımları, zamanlanmış görevler ve WMI olay abonelikleri aracılığıyla sağlanır. APT33, algılamayı atlamak için kodlanmış yükler (base64), şifrelenmiş C2 kanalları (AES), PowerShell gizleme ve özel malware çerçeveleri kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Kimlik bilgisi toplama işlemi LaZagne, Mimikatz ve SniffPass gibi araçlarla gerçekleştirilir ve tarayıcı kimlik bilgileri, LSASS belleği, GPP parolaları ve önbelleğe alınmış etki alanı kimlik bilgileri hedeflenir.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Sistemleri, ağ topolojisini ve yanal hareket için hesap ayrıcalıklarını listelemek için ortak komut dosyaları ve araçlar kullanırlar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Sistemler arasındaki hareket, toplanan kimlik bilgileri, uzak masaüstü protokolleri ve geçerli hesap erişimi kullanılarak kolaylaştırılır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Hassas dosyalar WinRAR gibi araçlar kullanılarak arşivlenir ve arka kapı implantları kullanılarak ekran görüntüleri de içerebilir.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

PowerShell, VBScript aracılığıyla veya kullanıcıları kötü amaçlı ekleri başlatmaları için kandırarak kötü amaçlı yükleri çalıştırırlar. Ayrıca CVE-2017-11774 ve CVE-2018-20250 gibi yazılım açıklarından da faydalanmışlardır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Veriler şifrelenmemiş FTP, HTTP ve HTTPS kanalları aracılığıyla, bazen de standart olmayan bağlantı noktaları (808/880) üzerinden kodlanmış yüklerle dışarı sızdırılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Öncelikli olarak casusluğa yönelik olan APT33, kesin olarak kanıtlanmamış olsa da Shamoon benzeri davranışlarla bağlantılı olarak yıkıcı operasyonlar gerçekleştirme kapasitesine sahiptir.

MITRE ATT&CK Haritalama

APT33 tarafından kullanılan TTP'ler

TA0001: Initial Access
T1566
Phishing
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1546
Event Triggered Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1140
Deobfuscate/Decode Files or Information
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1040
Network Sniffing
T1003
OS Credential Dumping
TA0007: Discovery
T1040
Network Sniffing
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1560
Archive Collected Data
T1113
Screen Capture
TA0011: Command and Control
T1573
Encrypted Channel
T1571
Non-Standard Port
T1132
Data Encoding
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1485
Data Destruction
Platform Tespitleri

Vectra AI ile APT33 Nasıl Tespit Edilir

Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.

Sıkça Sorulan Sorular

APT33'ün kökeni nedir?

APT33 hangi sektörleri hedef alıyor?

En çok hangi ülkeler etkileniyor?

APT33 ilk erişimi nasıl elde ediyor?

APT33 ile ilişkili malware veya araçlar nelerdir?

Herhangi bir yıkıcı saldırıyla bağlantıları var mı?

Kalıcılıklarını nasıl koruyorlar?

Kuruluşlar APT33 faaliyetlerini nasıl tespit edebilir?

APT33'e karşı hangi hafifletmeler etkilidir?

Grubun stratejik hedefi nedir?