ESET, İran kontaklı siber casusluk kümesi MuddyWater’ın İsrail ve Mısır’a yönelik faaliyetlerini tespit ederek bu kampanyada kullanılan araçların teknik tahlillerini paylaştı.
İSTANBUL (İGFA) – İran İstihbarat ve Ulusal Güvenlik Bakanlığı’yla irtibatlı MuddyWater (Mango Sandstorm / TA450), İsrail başta olmak üzere Orta Doğu’daki kritik dallara yönelik akınlarında yeni art kapı MuddyViper ve “Snake” oyunu kılığına giren Fooder üzere gelişmiş araçlar kullanmaya başladı.
ESET araştırmacıları, İran irtibatlı siber casusluk kümesi MuddyWater’ın (Mango Sandstorm yahut TA450 olarak da biliniyor) yeni bir operasyonla bilhassa İsrail’deki teknoloji, mühendislik, imalat, lokal idare ve eğitim kesimlerini gaye aldığını, ayrıyeten bir taarruz teşebbüsünün Mısır’da tespit edildiğini açıkladı.
Grubun bu kampanyada, savunma atlatma ve kalıcılığı artırma hedefiyle daha evvel belgelenmemiş özel araçlara başvurduğu belirtildi. Bu araçlar ortasında en dikkat çekeni, sistem bilgisi toplama, komut çalıştırma, evrak aktarma ve Windows kimlik bilgilerini sızdırma yeteneğine sahip yeni art kapı MuddyViper oldu.
KLASİK SNAKE OYUNUNDAN İLHAM ALAN MAKÛS HEDEFLİ YÜKLEYİCİ: FOODER
ESET’e nazaran MuddyWater, MuddyViper’ı sisteme bellek içi (reflective loading) olarak yükleyen Fooder isimli yeni bir yükleyici de kullandı. Birkaç versiyonu bulunan Fooder, görünüşte klasik Snake oyunu üzere çalışıyor.
Yükleyicinin göze çarpan bir başka özelliğinin, Snake oyununun temel mantığını taklit eden özel gecikme işlevleriyle “Sleep” API davetlerini ağır formda kullanması olduğu belirtiliyor. Bu gecikme sistemi, berbat maksatlı davranışları otomatik tahlil araçlarından gizlemeyi amaçlıyor. Araştırmacılar ayrıyeten MuddyWater’ın Windows’un çağdaş kriptografi mimarisi CNG’yi benimseyerek İran temaslı kümeler ortasında alışılmadık bir adım attığına dikkat çekti.
SPEARPHİSHİNG E-POSTALARIYLA BİRİNCİ ERİŞİM
Kampanyada birinci erişim çoğunlukla PDF eki taşıyan spearphishing e-postaları üzerinden sağlandı. Bu PDF’lerde OneHub, Egnyte yahut Mega üzere platformlarda barındırılan uzak idare yazılımlarının yükleyicilerine temaslar yer aldı.
Bu kontaklar Atera, Level, PDQ ve SimpleHelp üzere araçların indirilmesine yol açıyor. Kümenin ayrıyeten yasal yazılımları taklit eden VAX One isimli bir art kapı kullandığı; bu art kapının Veeam, AnyDesk, Xerox ve OneDrive üzere markaların isimlerini taklit ettiği belirtildi.
KİMLİK BİLGİSİ HIRSIZLARININ SAYISI ARTTI
Saldırı sonrası kullanılan araç setinde ise birden fazla kimlik bilgisi hırsızının bulunduğu ortaya kondu:
CE-Notes: Chromium tabanlı tarayıcıları hedefliyor.
LP-Notes: Çalınan kimlik bilgilerini doğruluyor ve düzenliyor.
Blub: Chrome, Edge, Firefox ve Opera’dan oturum açma bilgilerini çalıyor.
MuddyWater’ın taktikleri evriliyor: Daha az gürültü, daha maksatlı saldırılar
ESET’in tahliline nazaran MuddyWater, geçmişte sık yaptığı kusurlu komut yazımları ve manuel oturumlar üzere “gürültülü” davranışlardan kaçınarak daha ihtimamlı bir akın yaklaşımı benimsedi. Bu durum, kümenin teknik olarak evrim geçirdiğini ve daha stratejik hedefleme yaptığını gösteriyor.
