Basın Bülteni- ESET, MuddyWater’ın İsrail ve Mısır’daki siber casusluk faaliyetlerini ortaya çıkardı

Siber güvenlik çözümlerinde dünya lideri ESET İran bağlantılı siber casusluk grubu
MuddyWater'ın İsrail ve Mısır'a yönelik faaliyetlerini tespit ederek bu kampanyada
kullanılan araçların teknik analizlerini paylaştı. ESET araştırmacılarının
bulgularına göre İsrail'deki kritik altyapı kuruluşlarını hedef alan grup, yeni
bir arka kapı olan MuddyViper'ı, onu belleğe yansıtıcı olarak yükleyen ve çalıştıran
bir yükleyici (Fooder) kullanarak daha gelişmiş tekniklerle dağıttı.

İran İstihbarat ve Ulusal Güvenlik Bakanlığı ile bağlantılı bir siber casusluk grubu
olan MuddyWater Mango Sandstorm veya TA450 olarak da biliniyor. Bu grup, genellikle
özel kötü amaçlı yazılımlar ve halka açık araçlar kullanarak hükümet
ve kritik altyapı sektörlerini hedef alıyor. ESET araştırmacıları, MuddyWater'ın
öncelikli olarak İsrail'deki teknoloji, mühendislik, imalat, yerel yönetim ve
eğitim alanındaki kuruluşları hedeflediğini, bir hedefinde Mısır'da olduğunu
tespit etti. Bu kampanyada saldırganlar, savunma kaçakçılığını ve ısrarcılığı
iyileştirmek amacıyla daha önce belgelenmemiş bir dizi özel araç kullanmıştır.
Yeni arka kapı MuddyViper, saldırganların sistem bilgilerini toplamasına, dosyaları
ve kabuk komutlarını çalıştırmasına, dosyaları aktarmasına ve Windows oturum
açma kimlik bilgilerini ve tarayıcı verilerini sızdırmasına olanak tanır. Kampanya,
ek kimlik bilgisi hırsızlarını da kullanır. Bu araçlar arasında, klasik
Snake oyunu kılığına giren özel bir yükleyici olan Fooder de bulunmaktadır.

Bu kampanyada, ilk erişim genellikle spearphishing e-postaları yoluyla sağlanır.
Bu e-postalar genellikle OneHub, Egnyte veya Mega gibi ücretsiz dosya paylaşım
platformlarında barındırılan uzaktan izleme ve yönetim (RMM) yazılımlarının yükleyicilerine
bağlantı içeren PDF ekleri içerir. Bu bağlantılar, Atera, Level,
PDQ ve SimpleHelp gibi araçların indirilmesine yol açar. MuddyWater operatörleri
tarafından kullanılan araçlar arasında, taklit ettiği meşru yazılımların adını
taşıyan VAX One arka kapısı da bulunmaktadır: Veeam, AnyDesk, Xerox ve OneDrive
güncelleme hizmeti.

Grubun bu tanıdık taktiğe sürekli olarak güvenmesi, faaliyetlerinin tespit edilmesini
ve engellenmesini nispeten kolaylaştırmaktadır. Ancak bu durumda grup, MuddyViper
adlı yeni bir arka kapıyı dağıtmak için MuddyViper'ı belleğe yansıtıcı
olarak yükleyen ve çalıştıran bir yükleyici (Fooder) kullanarak daha gelişmiş
teknikler de kullanmıştır. Fooder'ın birkaç sürümü, klasik Snake oyunu gibi görünmektedir,
bu nedenle MuddyViper olarak adlandırılmıştır. Fooder'ın bir başka
dikkat çekici özelliği, Snake oyununun temel mantığını uygulayan özel bir gecikme
işlevini Sleep API çağrılarıyla birlikte sık sık kullanmasıdır. Bu özellikler,
otomatik analiz sistemlerinden kötü amaçlı davranışları gizlemek için yürütülmesini
geciktirmek amacıyla tasarlanmıştır. Ayrıca MuddyWater geliştiricileri,
İran ile bağlantılı gruplar için benzersiz ve daha geniş tehdit ortamında biraz
alışılmadık olan Windows'un yeni nesil kriptografik API'si CNG'yi benimsemiştir.
Bu kampanya sırasında operatörler, genellikle yanlış yazılmış komutlarla
karakterize edilen, tarihsel olarak gürültülü bir teknik olan uygulamalı klavyeyle
etkileşimli oturumlardan kasıtlı olarak kaçındılar. Bu nedenle, bazı bileşenler
MuddyWater için tipik olduğu gibi gürültülü ve kolayca tespit edilebilir olsa
da genel olarak bu kampanya teknik evrim belirtileri göstermektedir: Artan
hassasiyet, stratejik hedefleme ve daha gelişmiş bir araç seti.

Saldırı sonrası araç seti ayrıca birden fazla kimlik bilgisi hırsızı içerir: Chromium
tabanlı tarayıcıları hedefleyen CE-Notes, çalınan kimlik bilgilerini sahneleyen
ve doğrulayan LP-Notes, ve Chrome, Edge, Firefox ve Opera tarayıcılarından
oturum açma verilerini çalan Blub.

MuddyWater, 2017 yılında Unit 42 tarafından ilk kez kamuoyuna tanıtıldı. Unit 42'nin
grubun faaliyetlerine ilişkin açıklaması, ESET'in profil oluşturma çalışmasıyla
tutarlıydı. Bu profilleme, siber casusluğa, kullanıcıları makroları etkinleştirmeye
ve güvenlik kontrollerini atlamaya teşvik etmek için tasarlanmış ek
olarak kötü amaçlı belgelerin kullanılmasına ve öncelikli olarak Orta Doğu'da bulunan
kuruluşları hedef almaya odaklanıyordu.

Geçmişteki önemli faaliyetleri arasında, İsrail hükümet kurumlarını ve telekomünikasyon
kuruluşlarını hedef alan siber casusluk kampanyası Operation Quicksand
(2020) yer almaktadır. Bu kampanya, grubun temel kimlik avı taktiklerinden daha
gelişmiş, çok aşamalı operasyonlara doğru evrimini göstermektedir. Ayrıca Türkiye'deki
siyasi grupları ve kuruluşları hedef alan, grubun jeopolitik odak noktasını,
sosyal mühendislik taktiklerini yerel bağlamlara uyarlama yeteneğini ve
modüler kötü amaçlı yazılımlara ve esnek C&C altyapısına olan güvenini gösteren
bir kampanya yer almaktadır.

ESET, MuddyWater'a atfedilen ve grubun gelişen araç setini ve değişen operasyonel
odağını vurgulayan çok sayıda kampanyayı belgelemiştir. Mart ve Nisan 2023'te
MuddyWater, Suudi Arabistan'da kimliği belirsiz bir kurbanı hedef aldı ve grup,
Ocak ve Şubat 2025'te Lyceum (OilRig alt grubu) ile operasyonel olarak örtüşmesi
ile dikkat çeken bir kampanya yürüttü. Bu iş birliği, MuddyWater'ın İran ile
bağlantılı diğer gruplar için ilk erişim aracısı olarak hareket ediyor olabileceğini
düşündürmektedir.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -