APT39
Aktiviteleri globaldir ancak daha çok Orta Doğu’ya odaklanmıştır. Iran destekli bir grup olduğu düşünülmektedir.
ODAK: Daha çok telekominikasyon ve seyehat endüstrilerine odaklanmış durumdadır. Hedefleri monitor etme, müşteri verielrini toplama, ek erişim vektörleri oluşturma gibi operasyonlara odaklanmıştır.
MALWARE: Powbat’ın varyantı olan Seaweed, Cachemoney backdoorları
SALDIRI VEKTÖRLERİ: Grubun en yaygın kullandığı atak tekniği spearphishing’dir. Mail ile zararlı dosyayı ek şeklinde ileterek tipik olarak Powbat enjeksiyonu gerçekleştirir. Grup bazı durumlarda ele geçirilmiş olan e-posta hesaplarını kullanmaktadır. APT39, hedef kurumlarıyla ilişkili gibi görünen ve resmi bir görüntüye sahip olan alan adlarını kullanır. Ayrıca bu grup ANTAK ve ASPXSPY gibi web shell’leri sisteme yüklemek için hedef kurumların savunmasız web sunucularını kullanmıştır. Bunun yanında dışarıdan Outlook Web Access (OWA) kaynaklarını tehlikeye atmak için resmi credential bilgilerini de kullanmıştır.
FireEye’nin APT raporundan Türkçeleştirilmiştir.
Uzun süre Blogger’de acaaba.com adresinde yazılar yazdım. Genel olarak teknoloji, sanat ve psikoloji üzerine bir internet sitesi. Yaklaşık 3 yıldır aralıklı olarak siber güvenlik ile ilgilendim, 2 yıldır da profesyonel olarak bu alanda çeşitli çalışmalar yapmaktayım.