APT33
APT33, siber casusluk ve potansiyel olarak yıkıcı operasyonlar yoluyla havacılık, enerji ve savunma sektörlerini hedef aldığı bilinen ve en az 2013'ten beri aktif olan İran devlet destekli bir tehdit grubudur.
APT33'ün kökeni
HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten ve Peach Sandstorm olarak da bilinen APT33, en az 2013 yılından beri aktif olan devlet destekli bir İran tehdit grubudur. Grubun İran Devrim Muhafızları Ordusu (IRGC) ile bağlantılı olduğundan şüphelenilmekte ve siber casusluk ve muhtemelen yıkıcı operasyonlar yürüterek İran'ın stratejik hedeflerini desteklediğine inanılmaktadır. APT33 özellikle hedef ortamlara erişim sağlamak için genellikle Microsoft teknolojilerinden yararlanan spearphishing, özel malware ve genel saldırı güvenlik araçlarını kullanmasıyla bilinmektedir.
APT33 tarafından hedef alınan ülkeler
APT33 operasyonları öncelikli olarak Amerika Birleşik Devletleri, Suudi Arabistan, Birleşik Arap Emirlikleri ve Güney Kore'yi hedef almıştır. Bu ülkeler Orta Doğu'da siyasi ve ekonomik açıdan önemli ülkelerdir ve genellikle İran'ın dış politikasına karşı muhalefeti temsil etmektedirler. Siber faaliyetler aynı zamanda kritik altyapı ve teknolojik gelişmeler hakkında istihbarat toplamak için de tasarlanmış olabilir.
APT33 tarafından hedeflenen sektörler
APT33 havacılık, enerji, savunma, mühendislik ve sanayi sektörlerindeki kuruluşlara yoğun bir şekilde odaklanmıştır. İlgi alanları İran'ın ekonomik ve askeri hedefleriyle, özellikle de petrol ve gaz altyapısı ile bölgesel rakiplerin ve küresel rakiplerin savunma kabiliyetleriyle örtüşmektedir.
APT33'ün kurbanları
APT33 özellikle ABD'li mühendislik ve havacılık firmalarını, Suudi petrol ve enerji holdinglerini ve BAE merkezli kritik altyapı kuruluşlarını hedef almıştır. Operasyonları hem siber casusluğu hem de Shamoon malware kampanyalarıyla bağlantılı olanlar gibi potansiyel yıkıcı saldırılar için hazırlığı içeriyordu, ancak APT33'e atıf bazı durumlarda ikinci dereceden.
APT33'ün saldırı yöntemi
APT33 öncelikle kötü amaçlı .hta bağlantıları, kötü amaçlı dosyalar veya arşiv ekleri içeren kimlik avı e-postaları kullanır. Ayrıca Office 365 bulut hesapları da dahil olmak üzere geçerli hesapları bazen parola püskürtme yoluyla ele geçirmişlerdir.
CVE-2017-0213 gibi açıklar yerel yükseltme için kullanılmıştır. Ayrıca, damping araçları aracılığıyla elde edilen geçerli yönetici kimlik bilgilerini kullanırlar.
Kalıcılık, kayıt defteri çalıştırma anahtarları, başlangıç klasörü dağıtımları, zamanlanmış görevler ve WMI olay abonelikleri aracılığıyla sağlanır. APT33, algılamayı atlamak için kodlanmış yükler (base64), şifrelenmiş C2 kanalları (AES), PowerShell gizleme ve özel malware çerçeveleri kullanır.
Kimlik bilgisi toplama işlemi LaZagne, Mimikatz ve SniffPass gibi araçlarla gerçekleştirilir ve tarayıcı kimlik bilgileri, LSASS belleği, GPP parolaları ve önbelleğe alınmış etki alanı kimlik bilgileri hedeflenir.
Sistemleri, ağ topolojisini ve yanal hareket için hesap ayrıcalıklarını listelemek için ortak komut dosyaları ve araçlar kullanırlar.
Sistemler arasındaki hareket, toplanan kimlik bilgileri, uzak masaüstü protokolleri ve geçerli hesap erişimi kullanılarak kolaylaştırılır.
Hassas dosyalar WinRAR gibi araçlar kullanılarak arşivlenir ve arka kapı implantları kullanılarak ekran görüntüleri de içerebilir.
PowerShell, VBScript aracılığıyla veya kullanıcıları kötü amaçlı ekleri başlatmaları için kandırarak kötü amaçlı yükleri çalıştırırlar. Ayrıca CVE-2017-11774 ve CVE-2018-20250 gibi yazılım açıklarından da faydalanmışlardır.
Veriler şifrelenmemiş FTP, HTTP ve HTTPS kanalları aracılığıyla, bazen de standart olmayan bağlantı noktaları (808/880) üzerinden kodlanmış yüklerle dışarı sızdırılır.
Öncelikli olarak casusluğa yönelik olan APT33, kesin olarak kanıtlanmamış olsa da Shamoon benzeri davranışlarla bağlantılı olarak yıkıcı operasyonlar gerçekleştirme kapasitesine sahiptir.
APT33 öncelikle kötü amaçlı .hta bağlantıları, kötü amaçlı dosyalar veya arşiv ekleri içeren kimlik avı e-postaları kullanır. Ayrıca Office 365 bulut hesapları da dahil olmak üzere geçerli hesapları bazen parola püskürtme yoluyla ele geçirmişlerdir.
CVE-2017-0213 gibi açıklar yerel yükseltme için kullanılmıştır. Ayrıca, damping araçları aracılığıyla elde edilen geçerli yönetici kimlik bilgilerini kullanırlar.
Kalıcılık, kayıt defteri çalıştırma anahtarları, başlangıç klasörü dağıtımları, zamanlanmış görevler ve WMI olay abonelikleri aracılığıyla sağlanır. APT33, algılamayı atlamak için kodlanmış yükler (base64), şifrelenmiş C2 kanalları (AES), PowerShell gizleme ve özel malware çerçeveleri kullanır.
Kimlik bilgisi toplama işlemi LaZagne, Mimikatz ve SniffPass gibi araçlarla gerçekleştirilir ve tarayıcı kimlik bilgileri, LSASS belleği, GPP parolaları ve önbelleğe alınmış etki alanı kimlik bilgileri hedeflenir.
Sistemleri, ağ topolojisini ve yanal hareket için hesap ayrıcalıklarını listelemek için ortak komut dosyaları ve araçlar kullanırlar.
Sistemler arasındaki hareket, toplanan kimlik bilgileri, uzak masaüstü protokolleri ve geçerli hesap erişimi kullanılarak kolaylaştırılır.
Hassas dosyalar WinRAR gibi araçlar kullanılarak arşivlenir ve arka kapı implantları kullanılarak ekran görüntüleri de içerebilir.
PowerShell, VBScript aracılığıyla veya kullanıcıları kötü amaçlı ekleri başlatmaları için kandırarak kötü amaçlı yükleri çalıştırırlar. Ayrıca CVE-2017-11774 ve CVE-2018-20250 gibi yazılım açıklarından da faydalanmışlardır.
Veriler şifrelenmemiş FTP, HTTP ve HTTPS kanalları aracılığıyla, bazen de standart olmayan bağlantı noktaları (808/880) üzerinden kodlanmış yüklerle dışarı sızdırılır.
Öncelikli olarak casusluğa yönelik olan APT33, kesin olarak kanıtlanmamış olsa da Shamoon benzeri davranışlarla bağlantılı olarak yıkıcı operasyonlar gerçekleştirme kapasitesine sahiptir.
APT33 tarafından kullanılan TTP'ler
Vectra AI ile APT33 Nasıl Tespit Edilir
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
APT33'ün kökeni nedir?
APT33, muhtemelen İslam Devrim Muhafızları Ordusu (IRGC) ile bağlantılı olan ve en az 2013'ten beri aktif olan İran devlet destekli bir tehdit grubudur.
APT33 hangi sektörleri hedef alıyor?
Havacılık, enerji, savunma, mühendislik ve petrol/gaz sektörlerine odaklanmaktadırlar.
En çok hangi ülkeler etkileniyor?
Başlıca hedefler arasında ABD, Suudi Arabistan, BAE ve Güney Kore yer almaktadır.
APT33 ilk erişimi nasıl elde ediyor?
Kötü amaçlı ekler veya bağlantılar içeren hedefli kimlik avı e-postaları ve parola püskürtme yoluyla Office 365 hesaplarının güvenliğinin tehlikeye atılması.
APT33 ile ilişkili malware veya araçlar nelerdir?
Yaygın araçlar arasında POWERTON, RemCos, DarkComet, PowerShell Empire, LaZagne, Mimikatz ve SniffPass bulunmaktadır.
Herhangi bir yıkıcı saldırıyla bağlantıları var mı?
Öncelikli olarak casusluğa odaklanmış olsa da APT33'ün Shamoon gibi yıkıcı operasyonlarla potansiyel bağlantıları vardır, ancak ilişkilendirme ikinci dereceden kalmaktadır.
Kalıcılıklarını nasıl koruyorlar?
Kayıt defteri anahtarları, zamanlanmış görevler, WMI olay abonelikleri ve RAT'ların başlangıç klasörlerine dağıtılması.
Kuruluşlar APT33 faaliyetlerini nasıl tespit edebilir?
Tespit, şüpheli PowerShell etkinliği, kodlanmış ağ trafiği, WMI kötüye kullanımı ve zamanlanmış komut dosyası yürütmeleri için izleme gerektirir. NDR araçlarının kullanılması tavsiye edilir.
APT33'e karşı hangi hafifletmeler etkilidir?
MFA kullanın, makro yürütmeyi devre dışı bırakın, yetkisiz kayıt defteri değişikliklerini izleyin, PowerShell erişimini sınırlayın ve ağ segmentasyonunu dağıtın.
Grubun stratejik hedefi nedir?
APT33, özellikle Orta Doğu'nun enerji ve savunma sektörlerinde İran'ın ulusal çıkarlarını desteklemek amacıyla casusluk faaliyetlerinde bulunmakta ve siyasi açıdan uygun olması halinde sabotaj potansiyeli taşımaktadır.