Siber güvenlik çözümlerinde dünya lideri ESET İran bağlantılı siber casusluk kümesi MuddyWater’ın İsrail ve Mısır’a yönelik faaliyetlerini tespit ederek bu kampanyada kullanılan araçların teknik tahlillerini paylaştı. ESET araştırmacılarının bulgularına nazaran İsrail’deki kritik altyapı kuruluşlarını gaye alan küme, yeni bir art kapı olan MuddyViper’ı, onu belleğe yansıtıcı olarak yükleyen ve çalıştıran bir yükleyici (Fooder) kullanarak daha gelişmiş tekniklerle dağıttı.
İran İstihbarat ve Ulusal Güvenlik Bakanlığı ile bağlantılı bir siber casusluk kümesi olan MuddyWater Mango Sandstorm yahut TA450 olarak da biliniyor. Bu küme, çoklukla özel berbat maksatlı yazılımlar ve halka açık araçlar kullanarak hükümet ve kritik altyapı bölümlerini maksat alıyor. ESET araştırmacıları, MuddyWater’ın öncelikli olarak İsrail’deki teknoloji, mühendislik, imalat, lokal idare ve eğitim alanındaki kuruluşları hedeflediğini, bir maksadında Mısır’da olduğunu tespit etti. Bu kampanyada saldırganlar, savunma kaçakçılığını ve ısrarcılığı güzelleştirmek gayesiyle daha evvel belgelenmemiş bir dizi özel araç kullanmıştır. Yeni art kapı MuddyViper, saldırganların sistem bilgilerini toplamasına, evrakları ve kabuk komutlarını çalıştırmasına, evrakları aktarmasına ve Windows oturum açma kimlik bilgilerini ve tarayıcı bilgilerini sızdırmasına imkan tanır. Kampanya, ek kimlik bilgisi hırsızlarını da kullanır. Bu araçlar ortasında, klasik Snake oyunu kılığına giren özel bir yükleyici olan Fooder de bulunmaktadır.
Bu kampanyada, birinci erişim çoklukla spearphishing e-postaları yoluyla sağlanır. Bu e-postalar çoklukla OneHub, Egnyte yahut Mega üzere fiyatsız belge paylaşım platformlarında barındırılan uzaktan izleme ve idare (RMM) yazılımlarının yükleyicilerine irtibat içeren PDF ekleri içerir. Bu kontaklar, Atera, Level, PDQ ve SimpleHelp üzere araçların indirilmesine yol açar. MuddyWater operatörleri tarafından kullanılan araçlar ortasında, taklit ettiği yasal yazılımların ismini taşıyan VAX One art kapısı da bulunmaktadır: Veeam, AnyDesk, Xerox ve OneDrive güncelleme hizmeti.
Grubun bu tanıdık taktiğe daima olarak güvenmesi, faaliyetlerinin tespit edilmesini ve engellenmesini nispeten kolaylaştırmaktadır. Lakin bu durumda küme, MuddyViper isimli yeni bir art kapıyı dağıtmak için MuddyViper’ı belleğe yansıtıcı olarak yükleyen ve çalıştıran bir yükleyici (Fooder) kullanarak daha gelişmiş teknikler de kullanmıştır. Fooder’ın birkaç sürümü, klasik Snake oyunu üzere görünmektedir, bu nedenle MuddyViper olarak isimlendirilmiştir. Fooder’ın bir diğer dikkat cazibeli özelliği, Snake oyununun temel mantığını uygulayan özel bir gecikme fonksiyonunu “Sleep” API davetleriyle birlikte sık sık kullanmasıdır. Bu özellikler, otomatik tahlil sistemlerinden makus gayeli davranışları gizlemek için yürütülmesini geciktirmek maksadıyla tasarlanmıştır. Ayrıyeten MuddyWater geliştiricileri, İran ile ilişkili kümeler için eşsiz ve daha geniş tehdit ortamında biraz alışılmadık olan Windows’un yeni jenerasyon kriptografik API’si CNG’yi benimsemiştir. Bu kampanya sırasında operatörler, çoklukla yanlış yazılmış komutlarla karakterize edilen, tarihi olarak gürültülü bir teknik olan uygulamalı klavyeyle etkileşimli oturumlardan kasıtlı olarak kaçındılar. Bu nedenle, birtakım bileşenler MuddyWater için tipik olduğu üzere gürültülü ve kolay kolay tespit edilebilir olsa da genel olarak bu kampanya teknik evrim belirtileri göstermektedir: Artan hassasiyet, stratejik hedefleme ve daha gelişmiş bir araç seti.
Saldırı sonrası araç seti ayrıyeten birden fazla kimlik bilgisi hırsızı içerir: Chromium tabanlı tarayıcıları hedefleyen CE-Notes; çalınan kimlik bilgilerini sahneleyen ve doğrulayan LP-Notes; ve Chrome, Edge, Firefox ve Opera tarayıcılarından oturum açma bilgilerini çalan Blub.
MuddyWater, 2017 yılında Unit 42 tarafından birinci kere kamuoyuna tanıtıldı. Unit 42’nin kümenin faaliyetlerine ait açıklaması, ESET’in profil oluşturma çalışmasıyla tutarlıydı. Bu profilleme, siber casusluğa, kullanıcıları makroları etkinleştirmeye ve güvenlik denetimlerini atlamaya teşvik etmek için tasarlanmış ek olarak makus gayeli evrakların kullanılmasına ve öncelikli olarak Orta Doğu’da bulunan kuruluşları gaye almaya odaklanıyordu.
Geçmişteki değerli faaliyetleri ortasında, İsrail hükümet kurumlarını ve telekomünikasyon kuruluşlarını maksat alan siber casusluk kampanyası Operation Quicksand (2020) yer almaktadır. Bu kampanya, kümenin temel kimlik avı taktiklerinden daha gelişmiş, çok evreli operasyonlara gerçek evrimini göstermektedir. Ayrıyeten Türkiye’deki siyasi kümeleri ve kuruluşları maksat alan, kümenin jeopolitik odak noktasını, toplumsal mühendislik taktiklerini mahallî bağlamlara uyarlama yeteneğini ve modüler makûs gayeli yazılımlara ve esnek C&C altyapısına olan inancını gösteren bir kampanya yer almaktadır.
ESET, MuddyWater’a atfedilen ve kümenin gelişen araç setini ve değişen operasyonel odağını vurgulayan çok sayıda kampanyayı belgelemiştir. Mart ve Nisan 2023’te MuddyWater, Suudi Arabistan’da kimliği belgisiz bir kurbanı gaye aldı ve küme, Ocak ve Şubat 2025’te Lyceum (OilRig alt grubu) ile operasyonel olarak örtüşmesi ile dikkat çeken bir kampanya yürüttü. Bu iş birliği, MuddyWater’ın İran ile irtibatlı öteki kümeler için birinci erişim ortacısı olarak hareket ediyor olabileceğini düşündürmektedir.
Kaynak: (BYZHA) Beyaz Haber Ajansı