Microsoft, Savunma Sektorunu Hedef Alan Yeni 'FalseFont' Arka Kapı Tehlikesi Konusunda Uyarıyor

Savunma Sanayi Tabanı (DST) sektöründe, bir İran aktörünün örgütlü bir şekilde kuruluşları hedef aldığı tehlike ortaya çıktı. Bu düzenlenmiş çaba, Microsoft'un dikkatli gözetimi altında, tanınmış Peach Sandstorm (önceki adlarıyla Holmium, APT33, Elfin ve Refined Kitten) tarafından gerçekleştirilen daha büyük bir kampanyanın bir parçası.

Belirlenen tehdit, Microsoft'un Tehdit İstihbarat ekibi tarafından X (eskiden Twitter) üzerindeki izleme çabalarıyla ortaya çıkan bir yeni arka kapı olan FalseFont şeklinde ortaya çıkmıştır. FalseFont, özel bir arka kapı olup, etkilenmiş sistemlere uzaktan erişim, ek dosyaların yürütülmesi ve verilerin komuta ve kontrol sunucularına iletilmesine olanak tanıyan geniş bir dizi işlevsellikle gurur duyuyor. Özellikle, bu hain implantın ilk dağıtımı Kasım 2023'ün başlarına dayanmaktadır.

Microsoft, bu son açığın Peach Sandstorm'a atfedilen önceki faaliyetlerle mükemmel bir uyum içinde olduğunu vurgulayarak , tehdit aktörünün taktik ve tekniklerinde sürekli bir evrimi göstermektedir. Microsoft'un Eylül 2023 raporu, bu grubu Şubat ve Temmuz 2023 arasında küresel çapta gerçekleştirilen parola püskürtme saldırılarına bağlamış ve özellikle uydu, savunma ve ilaç sektörlerinde faaliyet göstermiştir.

Bu müdahalelerin nihai amacı, Microsoft'un iddiasına göre, İran devletinin çıkarları doğrultusunda istihbarat toplamayı kolaylaştırmaktır. Peach Sandstorm'un operasyonlarının sürekliliği en az 2013'e kadar uzanmaktadır.

Bu açıklama, İsrail Ulusal Siber Direktörlüğü (INCD) tarafından yapılan suçlamalarla aynı zamana denk gelmektedir. Bu suçlamalar, İran'ı ve Hizbullah'ı Ziv Hastanesi'ni hedef almak için başarısız bir girişimde bulunmakla suçlayan Agrius ve Lebanese Cedar adlı hacker gruplarını içermektedir. Ayrıca INCD, F5 BIG-IP ürünlerindeki bir güvenlik açığına yönelik bir güvenlik açığına yönelik sahte bir danışmanlık kullanılarak yapılan bir sahtekarlık kampanyasını ortaya koymuştur. Bu kampanya, hem Windows hem de Linux sistemlerine wiper kötü amaçlı yazılımı teslim etmek için bir sapma olarak kullanılmaktadır.

Bu hedefli saldırılara yönelik yem, Ekim 2023'ün sonlarında açıklanan kritik bir kimlik doğrulama atlama güvenlik açığı (CVE-2023-46747, CVSS puanı: 9,8) etrafında dönüyor. Şu anda, bu kapsamlı kampanyanın kapsamı açıklanmadı.