İranlı olduğu düşünülen bir tehdit aktörü, 2020 yılının son aylarından itibaren başta denizcilik olmak üzere İsrail’deki kamu, enerji, sağlık ve diğer sektörlerlerdeki kuruluşları hedef alan casusluk odaklı saldırılar düzenlemiş. Grubun saldırılarına aktif bir şekilde devam ettiği düşünülüyor ve karakteristik olarak İsrail’i hedef alan diğer tehdit aktörleriyle benzerlikle taşıdığı belirtiliyor.
Mandiant tarafından yayınlanan raporda, İran devletinin çıkarlarına ve amaçlarına yönelik uyumlu siber operasyonlar yürüttüklerini düşündükleri bu tehdit aktörü UNC3890 olarak adlandırılmış. Bu tehdit aktörünün özellikle İsrail merkezli denizcilik sektöründe faaliyet gösteren şirketleri hedef almasının, İsrail-İran arasında denizlerde devam eden anlaşmazlıkların siber dünyadaki kısmi bir yansıması olarak görülebilir. Araştırmacılar, tehdit aktörünün bu kapsamda istihbarat topladığını düşünüyorlar.
UNC3890’nin sadece bölgesel amaçlı saldırılar ve siber casusluk operasyonları düzenlediği görülsede, denizcilik sektöründe hedef aldıkları kuruluşlardan bir kısmının küresel ölçekte faaliyet göstermesinden dolayı, olası etkilerinin İsrail’in ötesine geçebileceği düşünülüyor.
Gerçekleştirilen teknik analizlerden sonra grubun ilk olarak tipik sosyal mühendislik saldırıları gerçekleştirdiği tespit edilmiş. Bununla birlikte saldırılarda kullanılan SUGARUSH adlı bir arka kapı aracı, tarayıcı bazlı kimlik hırsızlığı aracı olan SUGARDUMP tespit edilmiş. Ayrıca grubun birbiriyle bağlantılı komuta kontrol sunucularını da çalıştırdığı tespit edilmiş. Grup, diğer İran destekli grupların tercih ettiği gibi açık kaynaklı C2 çerçevesi olan NorthStar C2’yi kullanmışlar. Bu araçların dışında grubun herkese açık olan ve pek çok şirket ve güvenlik araştırmacısının kullandığı Metasploit’den de yararlandığı belirtiliyor.
