ESET, İran bağlantılı siber casusluk grubu MuddyWater’ın İsrail ve Mısır’a yönelik faaliyetlerini tespit ederek bu kampanyada kullanılan araçların teknik analizlerini paylaştı.

İSTANBUL (İGFA) - İran İstihbarat ve Ulusal Güvenlik Bakanlığı’yla bağlantılı MuddyWater (Mango Sandstorm / TA450), İsrail başta olmak üzere Orta Doğu’daki kritik sektörlere yönelik saldırılarında yeni arka kapı MuddyViper ve “Snake” oyunu kılığına giren Fooder gibi gelişmiş araçlar kullanmaya başladı.

ESET araştırmacıları, İran bağlantılı siber casusluk grubu MuddyWater’ın (Mango Sandstorm veya TA450 olarak da biliniyor) yeni bir operasyonla özellikle İsrail’deki teknoloji, mühendislik, imalat, yerel yönetim ve eğitim sektörlerini hedef aldığını, ayrıca bir saldırı girişiminin Mısır’da tespit edildiğini açıkladı.

Grubun bu kampanyada, savunma atlatma ve kalıcılığı artırma amacıyla daha önce belgelenmemiş özel araçlara başvurduğu belirtildi. Bu araçlar arasında en dikkat çekeni, sistem bilgisi toplama, komut çalıştırma, dosya aktarma ve Windows kimlik bilgilerini sızdırma yeteneğine sahip yeni arka kapı MuddyViper oldu.

KLASİK SNAKE OYUNUNDAN İLHAM ALAN KÖTÜ AMAÇLI YÜKLEYİCİ: FOODER

ESET’e göre MuddyWater, MuddyViper’ı sisteme bellek içi (reflective loading) olarak yükleyen Fooder adlı yeni bir yükleyici de kullandı. Birkaç versiyonu bulunan Fooder, görünüşte klasik Snake oyunu gibi çalışıyor.

Yükleyicinin göze çarpan bir diğer özelliğinin, Snake oyununun temel mantığını taklit eden özel gecikme fonksiyonlarıyla “Sleep” API çağrılarını yoğun şekilde kullanması olduğu belirtiliyor. Bu gecikme sistemi, kötü amaçlı davranışları otomatik analiz araçlarından gizlemeyi amaçlıyor. Araştırmacılar ayrıca MuddyWater’ın Windows’un modern kriptografi mimarisi CNG’yi benimseyerek İran bağlantılı gruplar arasında alışılmadık bir adım attığına dikkat çekti.

SPEARPHİSHİNG E-POSTALARIYLA İLK ERİŞİM

Kampanyada ilk erişim çoğunlukla PDF eki taşıyan spearphishing e-postaları üzerinden sağlandı. Bu PDF’lerde OneHub, Egnyte veya Mega gibi platformlarda barındırılan uzak yönetim yazılımlarının yükleyicilerine bağlantılar yer aldı.

Bu bağlantılar Atera, Level, PDQ ve SimpleHelp gibi araçların indirilmesine yol açıyor. Grubun ayrıca meşru yazılımları taklit eden VAX One adlı bir arka kapı kullandığı; bu arka kapının Veeam, AnyDesk, Xerox ve OneDrive gibi markaların adlarını taklit ettiği belirtildi.

KİMLİK BİLGİSİ HIRSIZLARININ SAYISI ARTTI

Saldırı sonrası kullanılan araç setinde ise birden fazla kimlik bilgisi hırsızının bulunduğu ortaya kondu:

CE-Notes: Chromium tabanlı tarayıcıları hedefliyor.

LP-Notes: Çalınan kimlik bilgilerini doğruluyor ve düzenliyor.

Blub: Chrome, Edge, Firefox ve Opera’dan oturum açma verilerini çalıyor.

MuddyWater’ın taktikleri evriliyor: Daha az gürültü, daha hedefli saldırılar

ESET’in analizine göre MuddyWater, geçmişte sık yaptığı hatalı komut yazımları ve manuel oturumlar gibi “gürültülü” davranışlardan kaçınarak daha özenli bir saldırı yaklaşımı benimsedi. Bu durum, grubun teknik olarak evrim geçirdiğini ve daha stratejik hedefleme yaptığını gösteriyor.