MUDDYWATER APT GRUBU

• Aralık 8, 2022Haziran 8, 2023

MUDDYWATER APT GRUBU

MuddyWater, İranlı bir tehdit grubudur. Cisco Talos’taki araştırmacılar, MuddyWater korsanlarının “tek bir tehdit aktörü grubu yerine bağımsız olarak çalışan çok sayıda ekipten oluşan bir grup” olduğuna, öncelikle Orta Doğu ülkelerini hedef alan ve aynı zamanda Avrupa ve Kuzey Amerika ülkelerini sonrasında Türkiye ve diğer Asya ülkelerini hedef alan siber saldırganlar olduklarını, ulusal ve yerel yönetimler ve bakanlıklar, üniversiteler ve telekomünikasyon sağlayıcıları gibi özel kuruluşlar dahil olmak üzere çeşitli sektörlere karşı kampanyalar yürüttüğünü belirtiyor.

Kasım 2021’de Cisco Talos, Tübitak dahil olmak üzere Türkiye devlet kurumlarını hedef alan bir kampanyayı gözlemledi.

SALDIRI AMAÇLARI

MuddyWater’ın saldırılarını gerçekleştirirken üç amacı vardır:

Siber Casusluk: Bir tehdit aktörü siyasi nedenlerle bir kuruluşa saldırdığında olur. MuddyWater örneğinde, ulus-devletin Ortadoğu’daki siyasi egemenliğini destekliyorlar ve kısmen ulus-devlet çıkarları tarafından motive ediliyorlar.

Fikri Mülkiyet Hırsızlığı: Tehdit aktörlerinin şirketlerin veya belirli kişilerin icatlarını, patentlerini, ticari sırlarını ele geçirmek için amaçladığında yapılır. MuddyWater bunu, araştırma şirketleri ve üniversiteler gibi devlete bağlı kurumlara karşı agresif kampanyalar yürüterek başarır.

Fidye Yazılım Saldırıları: Tipik olarak, bir tehdit aktörü çalınan veriler karşılığında bir fidye aradığında fidye yazılımı saldırıları gerçekleşir. MuddyWater örneğinde, Thanos gibi fidye yazılımlarını iki şey yapmak için ağlara yerleştirmeye çalıştılar:

1. Ağda veya sistemde bulunduklarına dair kanıtları yok etmek
2. Özel kuruluşların operasyonlarını kesintiye uğratmak.

MuddyWater, kötü niyetli PDF’ler tarafından indirilen kötü amaçlı belgeleri barındırır. PDF’ler e-posta yoluyla dağıtılır ve hedefleri indirip açmaları için kandırmak üzere tasarlanmıştır. Araştırmalar MuddyWater’ın saldırıları için giriş noktası olarak kötü amaçlı PDF’leri kullandığını gösteriyor.

Gönderilen PDF dosyasını kurbana açtırmaya çalışır. Kurbanın PDF dosyasını açması için ona bazı inandırıcı taktikler uygular.

KALICILIK

Ek olarak, bazıları Türkiye Sağlık ve İçişleri Bakanlıklarından alınan meşru belgeler gibi görünen, Türkçe adlarla dağıtılan bir dizi kötü amaçlı Excel elektronik tablo dosyasının bulunduğu görüldü.

Registry’e yazdığı değer ile burada yapılmak istenen şey, her sistem başlangıcında yürütülmesini sağlamak yani sistemde kalıcılık sağlamaktır.

KÖTÜ AMAÇLI YÜRÜTÜLEBİLİR DOSYALARA DAYALI ENFEKSİYON ZİNCİRİ

Enfeksiyon zincirlerinin ilk dağıtım mekanizması, kötü amaçlı PDF dosyalarından oluşur. PDF dosyalarındaki indir butonuna karşılık gelen URL’ler genellikle sonraki VBS ve PS1 komut dosyalarını dağıtan makroları içeren kötü amaçlı XLS dosyalarını barındırır.

Bununla birlikte, son zamanlarda bu enfeksiyon zincirinde bir değişiklik olduğu görüldü. Bu ikinci varyasyon, kötü amaçlı XLS dosyaları yerine enfeksiyon zincirinde bir EXE sunan bir URL’ye işaret eden PDF’den oluşur.

MuddyWater tehditlerine karşı alınabilecek önlemlerden bazıları:

• Çok Faktörlü Kimlik Doğrulamayı kullanmak.
• Kötü amaçlı yazılımdan koruma ve virüsten koruma yazılımını etkinleştirmek.
• İşletim sistemi ve yazılımlar için güncellemeleri ve yamaları yayınlandıkları anda düzenli olarak yüklemek.
• Sosyal mühendislik ve kimlik avı girişimlerini tanımak ve raporlamak için kullanıcıları eğitmek.
• Bilinmeyen veya güvenilmeyen kaynaklardan gelen e-postalardaki veya mesajlardaki köprülere veya eklere tıklamaktan kaçınmak.

ÖNCEKİ SALDIRILARINDA KULLANDIKLARI TEKNİKLER

GÜNCEL TEKNİKLER