APT35
Charming Kitten olarak da bilinen APT35, en az 2013'ten beri aktif olan, sofistike sosyal mühendislik kampanyaları ve hükümet, akademik ve özel sektörlerdeki jeopolitik rakipleri ısrarla hedef almasıyla bilinen, devlet destekli bir İran siber casusluk grubudur.
APT35'in kökeni
Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 ve PHOSPHORUS olarak da bilinen APT35, İran Devrim Muhafızları Ordusu (IRGC) ile bağlantılı bir siber casusluk grubudur. En az 2013'ten beri aktif olan grup, İran'ın jeopolitik öncelikleriyle uyumlu istihbarat toplamaya odaklanmaktadır. Başlıca operasyonel özellikleri, düşman olarak algılanan veya İran'ın stratejik ilgi alanına giren kişi ve kuruluşları hedef almak için sosyal mühendislik ve phishing kullanımıdır.
APT35'in taktikleri titizdir, genellikle sahte kişilikler yaratır ve kimlik bilgisi toplama ve malware dağıtımı yapmak için meşru platformlardan (ör. LinkedIn, Google Drive) yararlanır. Grup, çok çeşitli küresel hedeflere karşı uzun vadeli ve ısrarlı kampanyalarıyla bilinmektedir.
APT35 Tarafından Hedeflenen Ülkeler
APT35 öncelikle Amerika Birleşik Devletleri, Birleşik Krallık, İsrail ve Suudi Arabistan'daki kuruluşları hedef almaktadır, ancak kampanyaları Almanya, Irak, Avustralya, İran (içerideki muhalifler) ve Arnavutluk gibi ülkelere de ulaşmıştır. Bu bölgeler jeopolitik duruşları, diaspora nüfusları veya İran rejimini eleştiren muhaliflere ve gazetecilere ev sahipliği yapmaları nedeniyle stratejik olarak önemlidir.
APT35 Tarafından Hedeflenen Sektörler
APT35'in operasyonları birden fazla sektörü kapsamaktadır. Yüksek öncelikli hedefler arasında hükümet, savunma, askeri ve istihbarat sektörleri yer almaktadır ve genellikle stratejik bilgiler toplamak veya hassas verileri dışarı sızdırmak için kullanılmaktadır. Ayrıca muhalif söylemleri ve politika tartışmalarını izlemeyi amaçlayan akademik kurumlar, medya kuruluşları, düşünce kuruluşları ve STK'lara karşı da aktiftirler. Petrol ve gaz, ilaç, havacılık, teknoloji, sağlık, finansal hizmetler ve enerji gibi sektörler de sıklıkla etkilenmekte ve bu da ekonomik ve siyasi casusluk hedeflerinin geniş bir kapsamına işaret etmektedir.
APT35'in Kurbanları
Öne çıkan kurbanlar arasında ABD ve Avrupa hükümet personeli, İsrailli akademik kurumlar ve Dünya Sağlık Örgütü (WHO) gibi kuruluşlar yer almaktadır. 2025 yılında, İsrailli bir akademik kurum Google Drive'da barındırılan kötü niyetli bir LNK dosyasıyla özellikle hedef alındı ve bu durum ABD merkezli düşünce kuruluşlarına yönelik önceki saldırılarda kullanılan taktikleri yansıtıyordu.
APT35'in saldırı yöntemi
Öncelikle phishing e-postaları ve LinkedIn ve WhatsApp gibi platformlarda sosyal mühendislik yoluyla kazanılır. Hedefleri kandırmak için sahte kişilikler ve meşru görünen web siteleri kullanılır.
Varsayılan veya yönetici hesapları oluşturmayı veya etkinleştirmeyi, ayrıcalıkları artırmak için PowerShell veya Mimikatz gibi araçları kullanmayı içerir.
Grup antivirüs, olay günlükleri ve LSA korumasını devre dışı bırakır; ayrıca tespit edilmekten kaçınmak için maskeleme ve gizleme teknikleri kullanırlar.
Tarayıcılardan ve VPN'lerden kimlik bilgilerini çalar, LSASS belleğini boşaltır ve daha derin erişim elde etmek için Outlook Web Access'i (OWA) kötüye kullanır.
APT35, WMI, Ping ve nltest gibi araçları kullanarak kapsamlı ana bilgisayar, ağ ve hesap keşfi gerçekleştirir.
Ağ üzerinde gezinmek için RDP, zamanlanmış görevler ve kopyalanmış araçlar kullanır.
E-posta toplama, keylogging, ekran görüntüsü yakalama ve hassas .PST dosyalarını ve LSASS dökümlerini toplamaya odaklanır.
PowerShell, VBS ve kötü amaçlı kısayol (LNK) dosyalarını kullanarak kötü amaçlı yükleri yürütür.
Veri sızıntısı için gzip, RAR gibi araçları ve Telegram API ve Google Drive gibi hizmetleri kullanır.
Öncelikli olarak casusluğa odaklanmış olsa da APT35, BitLocker ve DiskCryptor kullanarak veri şifreleme yeteneklerini göstermiş ve bazı operasyonlarda fidye yazılımı potansiyeline işaret etmiştir.
Öncelikle phishing e-postaları ve LinkedIn ve WhatsApp gibi platformlarda sosyal mühendislik yoluyla kazanılır. Hedefleri kandırmak için sahte kişilikler ve meşru görünen web siteleri kullanılır.
Varsayılan veya yönetici hesapları oluşturmayı veya etkinleştirmeyi, ayrıcalıkları artırmak için PowerShell veya Mimikatz gibi araçları kullanmayı içerir.
Grup antivirüs, olay günlükleri ve LSA korumasını devre dışı bırakır; ayrıca tespit edilmekten kaçınmak için maskeleme ve gizleme teknikleri kullanırlar.
Tarayıcılardan ve VPN'lerden kimlik bilgilerini çalar, LSASS belleğini boşaltır ve daha derin erişim elde etmek için Outlook Web Access'i (OWA) kötüye kullanır.
APT35, WMI, Ping ve nltest gibi araçları kullanarak kapsamlı ana bilgisayar, ağ ve hesap keşfi gerçekleştirir.
Ağ üzerinde gezinmek için RDP, zamanlanmış görevler ve kopyalanmış araçlar kullanır.
E-posta toplama, keylogging, ekran görüntüsü yakalama ve hassas .PST dosyalarını ve LSASS dökümlerini toplamaya odaklanır.
PowerShell, VBS ve kötü amaçlı kısayol (LNK) dosyalarını kullanarak kötü amaçlı yükleri yürütür.
Veri sızıntısı için gzip, RAR gibi araçları ve Telegram API ve Google Drive gibi hizmetleri kullanır.
Öncelikli olarak casusluğa odaklanmış olsa da APT35, BitLocker ve DiskCryptor kullanarak veri şifreleme yeteneklerini göstermiş ve bazı operasyonlarda fidye yazılımı potansiyeline işaret etmiştir.
APT35 tarafından kullanılan TTP'ler
Vectra AI ile APT35 Nasıl Tespit Edilir
Vectra AI Platformunda bulunan ve bir APT saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
APT35 kiminle bağlantılıdır?
APT35 İran Devrim Muhafızları Ordusu'na (IRGC ) bağlıdır ve onun istihbarat yetkisi altında faaliyet göstermektedir.
APT35'i diğer İranlı gruplardan farklı kılan nedir?
APT35, derin sosyal mühendisliği ve sahte çevrimiçi kişilikler yaratmasıyla dikkat çekiyor ve genellikle kötü amaçlı yükler teslim edilmeden önce çok adımlı etkileşimi içeriyor.
İlk erişim için birincil taktikleri nelerdir?
phishing bağlantıları, kötü niyetli ekler, drive-by indirmeleri ve sosyal medya taklidi kullanırlar.
APT35 tarafından hangi malware araçları kullanılıyor?
Önemli araçlar arasında PowerWindow, Parastoo RAT, Maelstrom RAT, MediaPl, NICECURL ve özel Android malware bulunmaktadır.
APT35 tespit edilmekten nasıl kaçıyor?
Gizleme, şifreli iletişim, maskeleme kullanırlar ve genellikle Google Drive gibi güvenilir bulut hizmetlerinden yararlanırlar.
Sıfır gün veya belirli CVE'leri kullandıkları biliniyor mu?
Evet, CVE-2022-30190 (Follina), ProxyShell, Log4Shell ve Fortinet SSL VPN güvenlik açıkları dahil.
Kuruluşlar APT35 faaliyetini nasıl tespit edebilir?
Olağandışı PowerShell yürütme, LSASS bellek erişimi, standart olmayan bağlantı noktaları üzerinden RDP oturumları ve şüpheli etki alanı erişimi gibi işaretleri arayın.
Hangi C2 tekniklerini kullanıyorlar?
APT35 tehlikeye atılmış meşru etki alanları, web hizmetleri, SOAP, IRC ve şifrelenmiş HTTP proxy'leri kullanır.
APT35'in phishing 'i nasıl azaltılabilir?
URL yeniden yazma/andboxing çözümlerinin yanı sıra e-posta filtreleme, ek tarama ve kullanıcı eğitimi dağıtın.
Hangi tespit araçları APT35'i durdurmaya yardımcı olabilir?
Ağ Tespit ve Müdahale (NDR) çözümleri APT35'in taktiklerine karşı oldukça etkilidir. Grubun web protokolleri üzerinden komuta ve kontrole, şifreli kanalların kullanımına ve bulut hizmetleri aracılığıyla veri sızdırmaya olan bağımlılığı göz önüne alındığında, NDR platformları doğu-batı ve giden trafiğe derinlemesine görünürlük sağlar.