Düzgün

Bahsedilen yöntem, klasik steganografiden ziyade polyglot dosya mimarisinden kaynaklanır. Tek bir dosya, hem geçerli bir görüntü hem de bir ZIP/RAR arşivi olacak şekilde hazırlanabilir. Görüntüleyiciler genellikle resmin bitiş işaretini gördüğünde okumayı durdurur; arşiv programları ise dosyanın sonundan indeks aradığı için içindeki arşivi açabilir. PNG-ZIP polyglot tekniğini 2021’de David Buchanan paylaşmıştı: https://t.co/y3rx8QZBw5 pdvzip adlı araç ise bu fikri biraz daha ileri götürüyor. PNG içindeki chunk yapısını kullanarak görüntünün içine arşivler ve betikler yerleştirebiliyor. Böylece tek bir PNG dosyasının içinde .ps1 veya Python payload’ları taşınabiliyor: https://t.co/71I895EVMa Sorun şu: birçok sistem yalnızca dosyanın geçerli bir görüntü olup olmadığına bakar. Polyglot dosyalar ise aynı anda birden fazla formatın kurallarına uyduğu için payload saklama veya dağıtma amacıyla kötüye kullanılabilir.

Türkiye'deki çok sayıda kurumu hedef alan, İran Devrim Muhafızları Ordusuna bağlı APT35'in (Charming Kitten) finansal analizi👇 1/3 APT35 sızıntısında yer alan Bitcoin cüzdanları ve işlem geçmişleri incelendiğinde, grubun finansal izlerini gizlemek amacıyla layering (katmanlama) stratejisi uyguladığı tespit ettim. İlgili sızıntıdaki cüzdanları inceleyerek APT35 ile ilişkilendirdiğim 2.600’den fazla cüzdanın toplam işlem hacmi yaklaşık 2,5 milyon dolar seviyesinde ve bu cüzdanların yarısından fazlası P2SH tipinde.

3/3 APT35, kripto varlıkları doğrudan saldırı altyapısını finanse etmek amacıyla kullanmaktadır. Bu varlıklar, başta KVM tabanlı offshore VPS hizmetleri ve çeşitli alan adlarını satın almak için operasyonel giderlerde ana ödeme yöntemi olarak tercih edilmiş. APT35, Batılı otoritelerle iş birliği yapmayan ve yasa dışı Rus forumlarında yoğun şekilde reklamı yapılan offshore servisleri sıkça kullanmış. DomainTools tarafından oluşturulan aşağıdaki diyagramda, grubun satın alımlar sırasındaki stratejisi net bir şekilde açıklanmış.

Our new paper reveals that many Ethereum fraud detection models are too optimistic. By switching from random data splits to temporal validation, we exposed a bias in previous research. This approach gives a much more realistic picture of how to detect rug pulls and honeypots in the real world.

İran Devrim Muhafızları Ordusu’nun Counterintelligence Birimi’ne bağlı APT35 sızıntısında, dünyadaki büyük şirketlerin ve pek çok ülkedeki devlet kurumlarının hedef alındığı görülüyor. Ancak benim dikkatimi çeken asıl nokta, APT35’in yalnızca dışarıyı değil, İran içindeki kurumları da hedef alması. İran'ın yerel telekomünikasyon kuruluşlarından sağlık sektöründeki kuruluşlarına kadar bir çok şirket hedeflenmiş. APT35 sızıntısının, mevcut İran yönetiminin psikolojisini de yansıttığı söylenebilir. Kendi iç kurumlarını hedef almaları, yalnızca dış düşmanlardan değil, içerideki potansiyel muhaliflerden de endişe duyduklarını ve bu nedenle istihbarat toplama ihtiyacı hissettiklerini gösteriyor.