ESET, İran bağlantılı siber casusluk grubu MuddyWater’ın İsrail ve Mısır’a yönelik faaliyetlerini tespit ederek bu kampanyada kullanılan araçların teknik analizlerini paylaştı.
İSTANBUL (İGFA) - İran İstihbarat ve Ulusal Güvenlik Bakanlığı’yla bağlantılı MuddyWater (Mango Sandstorm / TA450), İsrail başta olmak üzere Orta Doğu’daki kritik sektörlere yönelik saldırılarında yeni arka kapı MuddyViper ve “Snake” oyunu kılığına giren Fooder gibi gelişmiş araçlar kullanmaya başladı.
ESET araştırmacıları, İran bağlantılı siber casusluk grubu MuddyWater’ın (Mango Sandstorm veya TA450 olarak da biliniyor) yeni bir operasyonla özellikle İsrail’deki teknoloji, mühendislik, imalat, yerel yönetim ve eğitim sektörlerini hedef aldığını, ayrıca bir saldırı girişiminin Mısır’da tespit edildiğini açıkladı.
Grubun bu kampanyada, savunma atlatma ve kalıcılığı artırma amacıyla daha önce belgelenmemiş özel araçlara başvurduğu belirtildi. Bu araçlar arasında en dikkat çekeni, sistem bilgisi toplama, komut çalıştırma, dosya aktarma ve Windows kimlik bilgilerini sızdırma yeteneğine sahip yeni arka kapı MuddyViper oldu.
KLASİK SNAKE OYUNUNDAN İLHAM ALAN KÖTÜ AMAÇLI YÜKLEYİCİ: FOODER
ESET’e göre MuddyWater, MuddyViper’ı sisteme bellek içi (reflective loading) olarak yükleyen Fooder adlı yeni bir yükleyici de kullandı. Birkaç versiyonu bulunan Fooder, görünüşte klasik Snake oyunu gibi çalışıyor.
Yükleyicinin göze çarpan bir diğer özelliğinin, Snake oyununun temel mantığını taklit eden özel gecikme fonksiyonlarıyla “Sleep” API çağrılarını yoğun şekilde kullanması olduğu belirtiliyor. Bu gecikme sistemi, kötü amaçlı davranışları otomatik analiz araçlarından gizlemeyi amaçlıyor. Araştırmacılar ayrıca MuddyWater’ın Windows’un modern kriptografi mimarisi CNG’yi benimseyerek İran bağlantılı gruplar arasında alışılmadık bir adım attığına dikkat çekti.
SPEARPHİSHİNG E-POSTALARIYLA İLK ERİŞİM
Kampanyada ilk erişim çoğunlukla PDF eki taşıyan spearphishing e-postaları üzerinden sağlandı. Bu PDF’lerde OneHub, Egnyte veya Mega gibi platformlarda barındırılan uzak yönetim yazılımlarının yükleyicilerine bağlantılar yer aldı.
Bu bağlantılar Atera, Level, PDQ ve SimpleHelp gibi araçların indirilmesine yol açıyor. Grubun ayrıca meşru yazılımları taklit eden VAX One adlı bir arka kapı kullandığı; bu arka kapının Veeam, AnyDesk, Xerox ve OneDrive gibi markaların adlarını taklit ettiği belirtildi.
KİMLİK BİLGİSİ HIRSIZLARININ SAYISI ARTTI
Saldırı sonrası kullanılan araç setinde ise birden fazla kimlik bilgisi hırsızının bulunduğu ortaya kondu:
LP-Notes: Çalınan kimlik bilgilerini doğruluyor ve düzenliyor.
Blub: Chrome, Edge, Firefox ve Opera’dan oturum açma verilerini çalıyor.
MuddyWater’ın taktikleri evriliyor: Daha az gürültü, daha hedefli saldırılar
ESET’in analizine göre MuddyWater, geçmişte sık yaptığı hatalı komut yazımları ve manuel oturumlar gibi “gürültülü” davranışlardan kaçınarak daha özenli bir saldırı yaklaşımı benimsedi. Bu durum, grubun teknik olarak evrim geçirdiğini ve daha stratejik hedefleme yaptığını gösteriyor.
Sizlere daha iyi hizmet sunabilmek adına sitemizde çerez konumlandırmaktayız. Kişisel verileriniz, KVKK ve GDPR
kapsamında toplanıp işlenir. Sitemizi kullanarak, çerezleri kullanmamızı kabul etmiş olacaksınız.
En son gelişmelerden anında haberdar olmak için 'İZİN VER' butonuna tıklayınız.
Oyun gibi gözükse de gerçekte siber casusluk!
Oyun gibi gözükse de gerçekte siber casusluk!
ESET, İran bağlantılı siber casusluk grubu MuddyWater’ın İsrail ve Mısır’a yönelik faaliyetlerini tespit ederek bu kampanyada kullanılan araçların teknik analizlerini paylaştı.
İSTANBUL (İGFA) - İran İstihbarat ve Ulusal Güvenlik Bakanlığı’yla bağlantılı MuddyWater (Mango Sandstorm / TA450), İsrail başta olmak üzere Orta Doğu’daki kritik sektörlere yönelik saldırılarında yeni arka kapı MuddyViper ve “Snake” oyunu kılığına giren Fooder gibi gelişmiş araçlar kullanmaya başladı.
ESET araştırmacıları, İran bağlantılı siber casusluk grubu MuddyWater’ın (Mango Sandstorm veya TA450 olarak da biliniyor) yeni bir operasyonla özellikle İsrail’deki teknoloji, mühendislik, imalat, yerel yönetim ve eğitim sektörlerini hedef aldığını, ayrıca bir saldırı girişiminin Mısır’da tespit edildiğini açıkladı.
Grubun bu kampanyada, savunma atlatma ve kalıcılığı artırma amacıyla daha önce belgelenmemiş özel araçlara başvurduğu belirtildi. Bu araçlar arasında en dikkat çekeni, sistem bilgisi toplama, komut çalıştırma, dosya aktarma ve Windows kimlik bilgilerini sızdırma yeteneğine sahip yeni arka kapı MuddyViper oldu.
KLASİK SNAKE OYUNUNDAN İLHAM ALAN KÖTÜ AMAÇLI YÜKLEYİCİ: FOODER
ESET’e göre MuddyWater, MuddyViper’ı sisteme bellek içi (reflective loading) olarak yükleyen Fooder adlı yeni bir yükleyici de kullandı. Birkaç versiyonu bulunan Fooder, görünüşte klasik Snake oyunu gibi çalışıyor.
Yükleyicinin göze çarpan bir diğer özelliğinin, Snake oyununun temel mantığını taklit eden özel gecikme fonksiyonlarıyla “Sleep” API çağrılarını yoğun şekilde kullanması olduğu belirtiliyor. Bu gecikme sistemi, kötü amaçlı davranışları otomatik analiz araçlarından gizlemeyi amaçlıyor. Araştırmacılar ayrıca MuddyWater’ın Windows’un modern kriptografi mimarisi CNG’yi benimseyerek İran bağlantılı gruplar arasında alışılmadık bir adım attığına dikkat çekti.
SPEARPHİSHİNG E-POSTALARIYLA İLK ERİŞİM
Kampanyada ilk erişim çoğunlukla PDF eki taşıyan spearphishing e-postaları üzerinden sağlandı. Bu PDF’lerde OneHub, Egnyte veya Mega gibi platformlarda barındırılan uzak yönetim yazılımlarının yükleyicilerine bağlantılar yer aldı.
Bu bağlantılar Atera, Level, PDQ ve SimpleHelp gibi araçların indirilmesine yol açıyor. Grubun ayrıca meşru yazılımları taklit eden VAX One adlı bir arka kapı kullandığı; bu arka kapının Veeam, AnyDesk, Xerox ve OneDrive gibi markaların adlarını taklit ettiği belirtildi.
KİMLİK BİLGİSİ HIRSIZLARININ SAYISI ARTTI
Saldırı sonrası kullanılan araç setinde ise birden fazla kimlik bilgisi hırsızının bulunduğu ortaya kondu:
CE-Notes: Chromium tabanlı tarayıcıları hedefliyor.
LP-Notes: Çalınan kimlik bilgilerini doğruluyor ve düzenliyor.
Blub: Chrome, Edge, Firefox ve Opera’dan oturum açma verilerini çalıyor.
MuddyWater’ın taktikleri evriliyor: Daha az gürültü, daha hedefli saldırılar
ESET’in analizine göre MuddyWater, geçmişte sık yaptığı hatalı komut yazımları ve manuel oturumlar gibi “gürültülü” davranışlardan kaçınarak daha özenli bir saldırı yaklaşımı benimsedi. Bu durum, grubun teknik olarak evrim geçirdiğini ve daha stratejik hedefleme yaptığını gösteriyor.
Kaynak: İGF Haber
Son Haberler
İzmit Körfezi temizlik projesi Türkiye'ye örnek oluyor... Körfez dip çamuru temizliği ile canlanıyor
Adıyaman'da aranan şahıs operasyonla yakalandı
EİB'den Kasım'da 1,5 milyar dolarlık ihracat
TEMA'dan 'toprak' vurgusu! Kentleşme, tarım topraklarını yok ediyor
Jandarma'dan yasa dışı bahis ve dolandırıcılık operasyonu! 123 milyar TL'lik işlem hacmi tespit edildi
Futbolda bahis operasyonu derinleşiyor! İstanbul ve 16 ilde 35 gözaltı!
Gençleşen Türkülerden Yurttan Sesler sürprizi
Altıncı gemimiz hizmette... Türkiye'nin enerji filosu güçleniyor
Başkan Sengel'e Avrupa'da büyük onur
Sakarya Büyükşehir Basketbol Kütahya’da parkeye çıkıyor
Görkemli düğün mutluluk saçtı
Bursa Büyükşehir'den Mudanya sahiline 'değer' proje
Adıyaman'da kaçak sigara operasyonu
Makyaj sırları ortaya çıktı
AK Parti Keşan'dan Diş Hastanesi ve Uğur Mumcu Caddesi açıklaması