İSTANBUL (İGFA) – İran İstihbarat ve Ulusal Güvenlik Bakanlığı’yla irtibatlı MuddyWater (Mango Sandstorm / TA450), İsrail başta olmak üzere Orta Doğu’daki kritik kesimlere yönelik hücumlarında yeni art kapı MuddyViper ve “Snake” oyunu kılığına giren Fooder üzere gelişmiş araçlar kullanmaya başladı.
ESET araştırmacıları, İran kontaklı siber casusluk kümesi MuddyWater’ın (Mango Sandstorm yahut TA450 olarak da biliniyor) yeni bir operasyonla bilhassa İsrail’deki teknoloji, mühendislik, imalat, mahallî idare ve eğitim dallarını maksat aldığını, ayrıyeten bir akın teşebbüsünün Mısır’da tespit edildiğini açıkladı.
Grubun bu kampanyada, savunma atlatma ve kalıcılığı artırma emeliyle daha evvel belgelenmemiş özel araçlara başvurduğu belirtildi. Bu araçlar ortasında en dikkat çekeni, sistem bilgisi toplama, komut çalıştırma, evrak aktarma ve Windows kimlik bilgilerini sızdırma yeteneğine sahip yeni art kapı MuddyViper oldu.
KLASİK SNAKE OYUNUNDAN İLHAM ALAN MAKUS EMELLİ YÜKLEYİCİ: FOODER
ESET’e nazaran MuddyWater, MuddyViper’ı sisteme bellek içi (reflective loading) olarak yükleyen Fooder isimli yeni bir yükleyici de kullandı. Birkaç versiyonu bulunan Fooder, görünüşte klasik Snake oyunu üzere çalışıyor.
Yükleyicinin göze çarpan bir başka özelliğinin, Snake oyununun temel mantığını taklit eden özel gecikme işlevleriyle “Sleep” API davetlerini ağır biçimde kullanması olduğu belirtiliyor. Bu gecikme sistemi, berbat maksatlı davranışları otomatik tahlil araçlarından gizlemeyi amaçlıyor. Araştırmacılar ayrıyeten MuddyWater’ın Windows’un çağdaş kriptografi mimarisi CNG’yi benimseyerek İran temaslı kümeler ortasında alışılmadık bir adım attığına dikkat çekti.
SPEARPHİSHİNG E-POSTALARIYLA BİRİNCİ ERİŞİM
Kampanyada birinci erişim çoğunlukla PDF eki taşıyan spearphishing e-postaları üzerinden sağlandı. Bu PDF’lerde OneHub, Egnyte yahut Mega üzere platformlarda barındırılan uzak idare yazılımlarının yükleyicilerine kontaklar yer aldı.
Bu temaslar Atera, Level, PDQ ve SimpleHelp üzere araçların indirilmesine yol açıyor. Kümenin ayrıyeten legal yazılımları taklit eden VAX One isimli bir art kapı kullandığı; bu art kapının Veeam, AnyDesk, Xerox ve OneDrive üzere markaların isimlerini taklit ettiği belirtildi.
KİMLİK BİLGİSİ HIRSIZLARININ SAYISI ARTTI
Saldırı sonrası kullanılan araç setinde ise birden fazla kimlik bilgisi hırsızının bulunduğu ortaya kondu:
CE-Notes: Chromium tabanlı tarayıcıları hedefliyor.
LP-Notes: Çalınan kimlik bilgilerini doğruluyor ve düzenliyor.
Blub: Chrome, Edge, Firefox ve Opera’dan oturum açma datalarını çalıyor.
MuddyWater’ın taktikleri evriliyor: Daha az gürültü, daha gayeli saldırılar
ESET’in tahliline nazaran MuddyWater, geçmişte sık yaptığı kusurlu komut yazımları ve manuel oturumlar üzere “gürültülü” davranışlardan kaçınarak daha ihtimamlı bir atak yaklaşımı benimsedi. Bu durum, kümenin teknik olarak evrim geçirdiğini ve daha stratejik hedefleme yaptığını gösteriyor.
