Siber güvenlik çözümlerinde dünya lideri ESET İran bağlantılı siber casusluk kümesi MuddyWater’ın İsrail ve Mısır’a yönelik faaliyetlerini tespit ederek bu kampanyada kullanılan araçların teknik tahlillerini paylaştı. ESET araştırmacılarının bulgularına nazaran İsrail’deki kritik altyapı kuruluşlarını maksat alan küme, yeni bir art kapı olan MuddyViper’ı, onu belleğe yansıtıcı olarak yükleyen ve çalıştıran bir yükleyici (Fooder) kullanarak daha gelişmiş tekniklerle dağıttı.
İran İstihbarat ve Ulusal Güvenlik Bakanlığı ile bağlantılı bir siber casusluk kümesi olan MuddyWater Mango Sandstorm yahut TA450 olarak da biliniyor. Bu küme, ekseriyetle özel makûs hedefli yazılımlar ve halka açık araçlar kullanarak hükümet ve kritik altyapı dallarını gaye alıyor. ESET araştırmacıları, MuddyWater’ın öncelikli olarak İsrail’deki teknoloji, mühendislik, imalat, mahallî idare ve eğitim alanındaki kuruluşları hedeflediğini, bir maksadında Mısır’da olduğunu tespit etti. Bu kampanyada saldırganlar, savunma kaçakçılığını ve ısrarcılığı düzgünleştirmek emeliyle daha evvel belgelenmemiş bir dizi özel araç kullanmıştır. Yeni art kapı MuddyViper, saldırganların sistem bilgilerini toplamasına, evrakları ve kabuk komutlarını çalıştırmasına, belgeleri aktarmasına ve Windows oturum açma kimlik bilgilerini ve tarayıcı bilgilerini sızdırmasına imkan tanır. Kampanya, ek kimlik bilgisi hırsızlarını da kullanır. Bu araçlar ortasında, klasik Snake oyunu kılığına giren özel bir yükleyici olan Fooder de bulunmaktadır.
Bu kampanyada, birinci erişim çoklukla spearphishing e-postaları yoluyla sağlanır. Bu e-postalar ekseriyetle OneHub, Egnyte yahut Mega üzere fiyatsız belge paylaşım platformlarında barındırılan uzaktan izleme ve idare (RMM) yazılımlarının yükleyicilerine irtibat içeren PDF ekleri içerir. Bu ilişkiler, Atera, Level, PDQ ve SimpleHelp üzere araçların indirilmesine yol açar. MuddyWater operatörleri tarafından kullanılan araçlar ortasında, taklit ettiği yasal yazılımların ismini taşıyan VAX One art kapısı da bulunmaktadır: Veeam, AnyDesk, Xerox ve OneDrive güncelleme hizmeti.
Grubun bu tanıdık taktiğe daima olarak güvenmesi, faaliyetlerinin tespit edilmesini ve engellenmesini nispeten kolaylaştırmaktadır. Lakin bu durumda küme, MuddyViper isimli yeni bir art kapıyı dağıtmak için MuddyViper’ı belleğe yansıtıcı olarak yükleyen ve çalıştıran bir yükleyici (Fooder) kullanarak daha gelişmiş teknikler de kullanmıştır. Fooder’ın birkaç sürümü, klasik Snake oyunu üzere görünmektedir, bu nedenle MuddyViper olarak isimlendirilmiştir. Fooder’ın bir diğer dikkat cazip özelliği, Snake oyununun temel mantığını uygulayan özel bir gecikme fonksiyonunu “Sleep” API davetleriyle birlikte sık sık kullanmasıdır. Bu özellikler, otomatik tahlil sistemlerinden makus emelli davranışları gizlemek için yürütülmesini geciktirmek gayesiyle tasarlanmıştır. Ayrıyeten MuddyWater geliştiricileri, İran ile kontaklı kümeler için eşsiz ve daha geniş tehdit ortamında biraz alışılmadık olan Windows’un yeni kuşak kriptografik API’si CNG’yi benimsemiştir. Bu kampanya sırasında operatörler, çoklukla yanlış yazılmış komutlarla karakterize edilen, tarihî olarak gürültülü bir teknik olan uygulamalı klavyeyle etkileşimli oturumlardan kasıtlı olarak kaçındılar. Bu nedenle, birtakım bileşenler MuddyWater için tipik olduğu üzere gürültülü ve basitçe tespit edilebilir olsa da genel olarak bu kampanya teknik evrim belirtileri göstermektedir: Artan hassasiyet, stratejik hedefleme ve daha gelişmiş bir araç seti.
Saldırı sonrası araç seti ayrıyeten birden fazla kimlik bilgisi hırsızı içerir: Chromium tabanlı tarayıcıları hedefleyen CE-Notes; çalınan kimlik bilgilerini sahneleyen ve doğrulayan LP-Notes; ve Chrome, Edge, Firefox ve Opera tarayıcılarından oturum açma datalarını çalan Blub.
MuddyWater, 2017 yılında Unit 42 tarafından birinci defa kamuoyuna tanıtıldı. Unit 42’nin kümenin faaliyetlerine ait açıklaması, ESET’in profil oluşturma çalışmasıyla tutarlıydı. Bu profilleme, siber casusluğa, kullanıcıları makroları etkinleştirmeye ve güvenlik denetimlerini atlamaya teşvik etmek için tasarlanmış ek olarak berbat hedefli evrakların kullanılmasına ve öncelikli olarak Orta Doğu’da bulunan kuruluşları maksat almaya odaklanıyordu.
Geçmişteki kıymetli faaliyetleri ortasında, İsrail hükümet kurumlarını ve telekomünikasyon kuruluşlarını amaç alan siber casusluk kampanyası Operation Quicksand (2020) yer almaktadır. Bu kampanya, kümenin temel kimlik avı taktiklerinden daha gelişmiş, çok basamaklı operasyonlara hakikat evrimini göstermektedir. Ayrıyeten Türkiye’deki siyasi kümeleri ve kuruluşları gaye alan, kümenin jeopolitik odak noktasını, toplumsal mühendislik taktiklerini lokal bağlamlara uyarlama yeteneğini ve modüler makûs gayeli yazılımlara ve esnek C&C altyapısına olan inancını gösteren bir kampanya yer almaktadır.
ESET, MuddyWater’a atfedilen ve kümenin gelişen araç setini ve değişen operasyonel odağını vurgulayan çok sayıda kampanyayı belgelemiştir. Mart ve Nisan 2023’te MuddyWater, Suudi Arabistan’da kimliği meçhul bir kurbanı maksat aldı ve küme, Ocak ve Şubat 2025’te Lyceum (OilRig alt grubu) ile operasyonel olarak örtüşmesi ile dikkat çeken bir kampanya yürüttü. Bu iş birliği, MuddyWater’ın İran ile irtibatlı başka kümeler için birinci erişim ortacısı olarak hareket ediyor olabileceğini düşündürmektedir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
