Charming Kitten

Genel Bakış

Charming Kitten, 2014 yılından beri aktif olduğu düşülen İran kökenli bir siber casusluk grubudur. Hedef kitlesini İran’da veya İran dışında (Türkiye, ABD, İsrail, Birleşik Krallık vs.) yaşayan spesifik bireyler oluşturuyor. Hedefledikleri bireylerin genelde İran ile ilgisi olan konularda akademik, insan hakları veya medya üzerinde çalışması olan kişiler olduklarını görüyoruz. Bu grubun ilk amacı ise hedeflerin kişisel e-mail adreslerini veya Facebook hesaplarını ele geçirmek. Bu grubun uyguladığı taktik, teknik ve prosedür (TTP) yine İran kökenli olan Rocket Kitten ile çok benzediği için bu iki grup arasındaki sınırın çizilmesi çok zor olabiliyor[1].

Özet

Bu analiz, İran kökenli Charming Kitten grubunun neler yaptığını, hangi tekniklerle saldırılarını gerçekleştirdiği, hedef kitlesinin kim olduğu ve ne kadar tehlikeli olabileceklerini gösteriyor. Hedeflerinin İran kökenli olan veya İran ile ilgili araştırma yapan insanlar olduğunu gördüğümüz bu grup, genellikle oltalama mailleri kullanarak saldırılarını gerçekleştiriyor. Özellikle İran’a yaptırımların kabul edildiği veya arttırıldığı zamanlarda faaliyetleri artan Charming Kitten grubu, oltalama saldırıları kullanarak spesifik olarak hedefledikleri kurbanlarının Google, Yahoo, Facebook ve bunlara benzeyen bilgilerini çalmaya çalışıyor. Aşağıdaki görselde grubun genel olarak yaptıklarını görebilirsiniz.




Certfa tarafından yapılan araştırmaya [5] göre Charming Kitten grubunu 2018’in Eylül ve Ekim aylarında yine faaliyetlerine başladığını ve çok fazla domain adresi aldıklarını görüyoruz. En son aktivitelerinde kullandıkları siteler ve IP adreslerine ait ilişki grafiği aşağıda verilmiştir. Grafiğin ne kadar karışık olduğu bize bu grubun saldırılarının planlı ve organize olduğu hakkında fikir veriyor.



Kullanılan Yöntemler

Clearskysec tarafından yapılan araştırmalara göre Charming Kitten grubu aşağıdaki metotları kullanarak saldırılarını gerçekleştiriyor:
  1. Sahte kurum ve kişi profilleri oluşturmaktadır.
  2. Gerçek kurum ve kuruluşları taklit ederek.
  3. Oltalama mailleri kullanmak.

Sahte Kurum ve Kişi Profilleri Oluşturmak

Sahte Kurum

Charming Kitten’in en büyük hedeflerinden biri olan uluslararası medya kuruluşlarında çalışan İranlı gazetecilerdir. Bu gazetecileri şantaj yaparak tehdit ettikleri daha önce açığa çıkmıştı[3]. Bu grubun “Britishnews” isimli Britanya kaynaklı sahte bir haber sitesi oluşturduğunu görüyoruz. Bu siteye yönlendirilen başka domainlerinde olduğu yine belirtiliyor. Siteler kapatıldı fakat raporlanan ekran görüntülerinden britishnew.com[.]co ile ilgili aşağıdaki görselleri görebilirsiniz. Hatta sahte şirket için sosyal medya hesapları bile oluşturduklarını görüyoruz.






 
Grubun böyle bir sayfayı yapmasının amacı inandırıcılık sağlayıp güven kazanabilmek. Siteyi ziyaret eden kurbanların güvenini kazanarak daha fazla kalmasını hedeflemektedirler. Bu isteklerinin nedeni, sitenin içerisinde gömülü olan BeEF kütüphanesinin çalışıp etki etmesi için gerekli olan zamanı geçirmelerini sağlamaktır. BeEF (Browser Exploitation Framework) açık kaynaklı bir sızma testi aracıdır. Bu araç tarayıcıdaki zafiyetleri arayıp bularak hedefteki sisteme sızmak için kullanılabilecek çok güçlü bir programdır. Komut satırında kullanılması dışında birde API sağlayarak işlemleri otomatize etmeye olanak sağlıyor.


Sahte Kişiler

Charming Kitten grubunun sahte hesaplar açarak İran ile ilgili araştırma yapan kişilere mail veya sosyal medya üzerinden ulaşmaya çalıştıklarını görüyoruz. Oluşturdukları sahte hesapları genellikle öğrenci veya gazeteci kimliklerine sokuyorlar. Aşağıdaki görselde Zehavit Yehuda isimli sahte bir hesabın attığı e-mail görülmekte. E-mailde bulunan link Google’ın Sites isimli servisini kullanarak oluşturulmuş. Google tarafından onaylı bir link olduğu için inandırıcılığını arttırıyor.


 
Grubun kullandığı başka bir sahte hesap ise Yafa Hyat kullanıcı adlı bir Twitter hesabı. 06.02.2019 tarihinde bu yazıyı yazarken hala aktif olan bu hesap, yine yardım almak için Twitter üzerinden mesaj atıyor. Bu mesajda da görüldüğü üzere yine verilen link yine sites.google domainine ait. Linke basıldığında download-google.original-links[.]com adresine yönlendiriliyor. Kurban indirme butonuna basınca grubun oluşturduğu fakat Google hesapları için giriş yapılan sayfaya çok benzeyen bir sayfa ile karşılaşıyor. Tahmin edileceği üzere grup buradan kurbanın bilgileri çalıyor.








 

Gerçek Kurum ve Kuruluşları Taklit Etmek

Grubun gerçek şirketleri taklit ederek yeni web siteleri oluşturduğu ve bunlar üzerinden zararlı dosya yaydığını veya BeEF kullanarak hedef sisteme saldırmaya çalışıyor. Uçak motoru, uzay sistemleri ve askeri alanda çalışan “United Technologies” şirketinin de taklit edildiği raporlanmıştır.

Bu websitesi üzerinden “Flash Player” indirilmesini söyleyen saldırganlar Flash Player yerine zararlı içeriği indirtiyor.



Bunun dışında bu yazıyı yazarken referans aldığım raporu yayınlayan şirket olan ClearSky şirketinin de taklidinin yapıldığı ortaya çıktı[4]. Burada yapmak istedikleri, Outlook hesabıyla giriş yapmak isteyen kullanıcının bilgilerini çalmak. Bu amaçla, Google hesapları için yaptıklarını Outlook için yapıp orijinaline çok benzeyen bir giriş sayfasıyla hedefleri kandırmaya çalışıyor.


 
En son olarak grubun Jewish Journal websitesini taklit ederek başka bir site oluşturduğunu ve bu site üzerinden BeEF kütüphanesini kullanarak saldırmayı amaçladığını görüyoruz.

 

Oltalama Mailleri

Oltalama mailleri sahte kurum, kişi vs. oluşturarak türlü türlü sahtekarlıklar yaparak kurbanların bilgilerini çalmaya yarayan saldırı biçimidir. Örnek olarak, Google hesap giriş ekranının aynısını veya çok benzerini mail olarak aldınız. Mailde sizin kullancı adı ve şifrenizi girmenizi istiyor. Bu bilgileri girip, giriş yaptığınız zaman sizin bilgilerinizi karşı tarafa iletiliyor. Bu yönteme oltalama saldırısı diyebiliriz. Oltalama saldırılarının birçok çeşidi bulunmakta fakat Charming Kitten grubunun kullandığı yol, spesifik olarak hedefleri seçip (spear phishing) onlara oltalama mailleri yollamak. Charming Kitten grubunun oltalama mailleri ile saldırdığı grup genelde İran ile ilgili araştırma yapan akademisyenler, gazeteciler ve askerler oluyor.
İlk örneğimizde İsrail kökenli bir film yönetmeni olan Alon Gur Arye üzerinden atılmış bir mail var. Yönetmenin gmail hesabını ele geçirdikten sonra o hesaptan aşağıdaki maili atan grup bu sefer link kısaltma servisi olan bit.ly’i kullanıyor.



 
Bu link, kurbanı drivers.document-supportsharing[.]bid adresine yönlendiriyor. Bit.ly servisinin güzel özelliklerinden bir tanesi linke ait istatistikleri bize sunması. Aşağıdaki görselde de görüldüğü üzere 3 kere Hollanda’dan 1 kere İran’dan tıklandığını görüyoruz. İran’dan yapılan tıklamanın test için kullanıldığını tahmin etmek zor olmasa gerek.



Yönlendirilen linkin Google-Drive’a çok benzeyen bir arayüzü var. Buradaki Download butonuna basan kurban giriş sayfasına yönlendirilip, bilgileri çalınıyor.

 
Bir başka örnekte de grubun suspended.user.notification[at]gmail.com adında bir email adresi açtıkları ve saldırılarını bunun üzerinden yaptığı gözüküyor. Burada kullandıkları taktik, hedefin hesabının askıya alındığını ve linke tıklayıp giriş yapması gerektiğini söylüyor. Linke tıklayınca da aşağıdaki giriş sayfasına yönlendirip kullanıcı bilgilerini çalmaya çalışıyor.






Charming Kitten grubunun çok farklı teknikler kullandığı raporlanmıştır. Aşağıda kullandıkları bazı tekniklerin örnekleri, ekran görüntüleri ile beraber verilmiştir.





Google Hangouts servisinin taklidi yapılarak yollanan bir oltalama maili





Hesabınızda şüpheli hareketlerin olduğunu ve bunu kullanıcının yapıp yapmadığını soran bir mail[5]



Google’ın 2 Adımlı Yetkilendirme servisini taklit edip kullanıcıya gelen SMS’i de çalmayı hedefleyen sahte site




Grubun bu seferde Yahoo servislerini taklit ettiği görülüyor. Yahoo maile ait gibi gözüken sahte giriş sayfası


Grubun Yahoo’nun 2 adımlı yetkilendirme servisini de taklit ettiğini görüyoruz.

 

DownPaper Analizi

Charming Kitten grubunun kullandığı Flash Player olarak indirtmeye çalıştıkları zararlıyı trojan olarak sınıflandırabiliriz. Bu trojanın asıl amacı sistem adı, kullanıcı adı ve seri numarası bilgilerini kontrol sunucusuna yollayıp, kontrol sunucusundan zararlı dosyayı indirmektir.

Temel Bilgiler

Bu bölümde verilecek olan bilgiler inceleyeceğimiz zararlıya aittir. Bu dosya yazının geri kalanında Downpaper olarak adlandırılacaktır.

Downpaper




Downpaper.exe
MD5
3261d45051542ab3e54fa541f132f899
SHA-1
479e1e02d379ad6c3c7f496d705448fa955b50a1
SHA-256
a86ccf0049be20c105e2c087079f18098c739b86d52acb13f1d41f1ccc9f8e1c
SSDeep
384:OFbqxy5ii1aMy7sN9itYl7gmCdxGLXoD8W:OheaD+e917gPwLXoD
Dosya boyutu
14 KB
Dosya türü
Win32 EXE
MIME
application/octet-stream



VirusTotal sonucu



Downpaper tarafından kullanılan MITRE ATT&CK teknikleri[6]
 

Bulaşma Yolları

Yukarıda da bahsedildiği gibi Charming Kitten, bu zararlıyı taklit ettiği veya ele geçirdiği sitelerde flash player süsü vererek dağıtıyor. Flash player sanılarak indirilen program aslında Downpaper zaralısıdır.

Analiz

Elimizde bulunan zararlının hangi dille yazıldığını ve paketlenip paketlenmediğini kontrol etmek için Detect It Easy programını kullanıyoruz. Zararlının .net ile yazılmış olduğunu ve paketlenmediğini görüyoruz.



.Net ile yazılan programların kaynak koduna dönmek (decompile) gayet kolaydır. Dnspy programıyla zararlımızın kaynak kodlarını çok rahat bir şekilde görebiliyoruz. Zararlının bölümleri ve kullandığı kütüphaneler aşağıdaki görsellerde görülebilir.

Zararlının kullandığı kütüphaneler
  Zararlının bölümleri




Zararlının main fonksiyonuna baktığımızda genel olarak ne yaptığını anlayabiliyoruz. Adım adım gitmek gerekirse:
  1. Resources kısmından base64lenmiş URL'i decode edip sonradan kullanmak üzere saklıyor.
  2. Zararlının içinde gömülü olarak bulunan base64lenmiş stringleri decode ederek(\SOFTWARE\Microsoft|Windows\CurrentVersion\Run) bu sefer registry değeri saklıyor.
  3. Bu registrynin içerisinde Windows Update'i arıyor.
  4. Eğer değer null dönerse IL_B4 bloğuna atlıyor. Eğer oradaki değer dosyanın isminden farklı ise Block_2'ye atlıyor.
  5. IL_B4 bloğunda(yani null dönerse) zararlı yeni Global\UpdateCenter adında yeni bir mutex oluşturup bu mutexi çalıştırıyor.
  6. Block_2 bloğunda da yine 5.adımdakilerin aynısnı yapıp, wuaclt.exe dosyasının dizinini tutuyor. Bundan sonra SetStartUp fonksiyonu çağırılıyor.
  7. SetStartUp fonksiyonun yaptıkları:
    1.  text fonksiyonunun içerisindeki base64lenmiş stringi decode ettiğimizde elimize powershell scripti geçiyor.
    2. Bu powershell scripti, Window Update adından registry key oluşturup kendini kopyalıyor.
  8. Ayarlarını yaptıktan sonra makine adı, kullanıcı adı ve makinenin seri bilgisini(Sorgu yaparak) toplamaya başlıyor.
  9. Topladığı bilgileri yolluyor.
  10. Eğer kontrol sunucusundan yeni bir dosya gelirse, dosyayı indirip %temp% klasörüne kaydediyor. İndirdiği dosyayı, yeni bir thread oluşturarak çalıştırıyor. Gelmezse 10 saniye bekleyip 8.adıma geri dönüyor.


Downpaper Tespiti için Uygulanabilecek SIEM Kuralları

title: DownPaper
description: Detect DownPaper malicious activities which is used by Charming Kitten
author: Burak ÇARIKÇI
references:
https://www.clearskysec.com/wp-content/uploads/2017/12/Charming_Kitten_2017.pdf
date: 2019/02/07
status: testing
detection:
condition: (outgoing or incoming) and (selection1 and selection2)
logsource:
category: firewall
detection:
outgoing:
dst:
- 46.17.97.37
incoming:
src:
- 46.17.97.37
logsource:
product: windows
service: sysmon
detection:
selection1:
#Sysmon process creation
EventID: 1
ParentImage:
- '*\dndl.exe'
- '*\downpaper.exe'
- '*\sami.exe'
Image:
- '*\cmd.exe'
- '*\powershell.exe'
- '*\sami.exe'
- '*\wuauclt.exe'
- '*\azii.exe'
- '*\Azita Gallery.exe'
- '*\pita.exe'
- '*\ax haye ayin.exe'
#Registry Changes
logsource:
product: windows
service: sysmon
detection:
selection2:
EvenID: 13
TargetObject:
- '*\HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*'
EventType: 'SetValue'
fields:
- Image
- ParentImage
- CommandLine
- EventID
- TargetObject
falsepositives:
- unknown
level: high
mitre-attack:
- Command-Line Interface
- PowerShell
- Query Registry
- Registry Run Keys / Startup Folder
- Standard Application Layer Protocol
- System Information Discovery
- System Owner/User Discovery

Öneriler

  • Bilinçlenmek en büyük önlemlerden biridir. Gündemi takip edebilecek kadar bilgi çok şey değiştirebilir.
  • Oltalama saldırıları ile ilgili güncel kalın. Gelen mail adresini, mailde bulunan yazım yanlışları, şüpheli linkleri, kullanılan görselleri kontrol etmek önemli bir ipucu verebilir.
  • Güvenli parolalar belirleyin ve parolalarınızı belirli aralıklarla değiştirin.
  • SMS veya şifresiz halde gelen 2 adımlı doğrulama yöntemlerini kullanmak güvenli olmayabilir. Donanımsal veya uygulama olarak hizmet veren 2 adımlı doğrulama yöntemleri kullanılabilir.
  • Güvenmediğiniz dosyaları, IP ve URL adreslerini, VirusTotal vb. siteleri kullanarak kontrol edebilirsiniz.
  • Güvenilir antivirüs programları kullanabilirsiniz.
  • Domain-Based Message Authentication, Reporting & Conformance (DMARC) sistemi kurularak kuruma gelen spam mailleri en aza indirebilirsiniz[7].
Burak ÇARIKÇI

Kaynakça

  1. Charming Kitten: https://attack.mitre.org/groups/G0058/
  2. Clearsky şirketi tarafından yayınlanan Charming Kitten raporu: https://www.clearskysec.com/wp-content/uploads/2017/12/Charming_Kitten_2017.pdf
  3. Iranian agents blackmailed BBC reporter with ‘naked photo’ threats: www.arabnews.com/node/1195681/media
  4. Iranian Charming Kitten ATP group poses as Israeli cybersecurity firm in phishing campaign: https://securityaffairs.co/wordpress/74123/apt/charming-kitten-clearsky-phishing.html
  5. The Return of The Charming Kitten: https://blog.certfa.com/posts/the-return-of-the-charming-kitten/
  6. DownPaper: https://attack.mitre.org/software/S0186/
  7. DMARC: https://en.wikipedia.org/wiki/DMARC

Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Saldırı Tespit Sistemlerinde Derin Öğrenme Yaklaşımı - 2