Devlet destekli grubun, İran İstihbarat ve Güvenlik Bakanlığı (MOIS) bünyesinde alt bir unsur olduğu söylenen ve OilRig, Lyceum, Agrius ve Scarred Manticore gibi MOIS’e bağlı diğer kümelere katılan bir siber casusluk ekibi olduğu söyleniyor
siber-2
02 Kasım 2023Haber odasıSiber Saldırı / Kötü Amaçlı Yazılım
İranlı ulus devlet aktörü Çamurlu su sonunda N-able adlı meşru bir uzaktan yönetim aracını dağıtmak üzere iki İsrail kuruluşunu hedef alan yeni bir hedef odaklı kimlik avı kampanyasıyla ilişkilendirildi Gelişmiş İzleme Aracısı
Saldırıların ayrıntılarını açıklayan siber güvenlik firması Deep Instinct, söz konusu Kampanya, geçmişte ScreenConnect, RemoteUtilities, Syncro ve SimpleHelp gibi diğer uzaktan erişim araçlarını dağıtmak için benzer saldırı zincirlerini kullanan “daha önce bildirilen MuddyWater etkinliğine ilişkin güncellenmiş TTP’leri sergiliyor”
Bulgular siber güvenlik şirketi Group-IB tarafından da ayrı ayrı doğrulandı
“Kurban enfeksiyon kaptıktan sonra MuddyWater operatörü meşru uzaktan yönetim aracını kullanarak virüs bulaşmış ana makineye bağlanacak ve hedef üzerinde keşif yapmaya başlayacak ”
Kurbana gösterilen yem belgesi, İsrail Kamu Hizmeti Komisyonu’ndan gelen resmi bir nottur
Son gelişme, MuddyWater’ın N-able’ın uzaktan izleme yazılımı kullanılarak ilk kez gözlemlendiğine işaret etse de, aynı zamanda büyük ölçüde değişmeyen işleyiş tarzının tehdit aktörüne belirli bir düzeyde başarı sağlamaya devam ettiği gerçeğinin de altını çiziyor En az 2017’den beri aktiftir
Güvenlik araştırmacısı Simon Kenin Çarşamba günü yaptığı analizde, “Gizli dosyalar, bulaşmayı başlatan bir LNK dosyası ve bir uzaktan yönetim aracı olan Advanced Monitoring Agent’ı çalıştırırken sahte bir belgeyi ortaya çıkarmak için tasarlanmış yürütülebilir bir dosya içeriyor
Bu sefer farklı olan, çok aşamalı bir enfeksiyon vektörünü başlatmak için Storyblok adı verilen yeni bir dosya paylaşım hizmetinin kullanılmasıdır
Deep Instinct, İran’ın hızla gelişen kötü amaçlı siber yeteneklerinin bir başka işareti olarak, MuddyWater aktörlerinin MuddyC3 ve PhonyC2’nin halefi olan MuddyC2Go adlı yeni bir komuta ve kontrol (C2) çerçevesinden yararlandığını da tespit ettiğini söyledi
Önceki saldırı dizileri, doğrudan bağlantıların yanı sıra çeşitli dosya paylaşım platformlarında barındırılan arşivlere bağlantılar içeren HTML, PDF ve RTF ekleri içeren hedef odaklı kimlik avı e-postalarının gönderilmesini gerektiriyordu ve sonuçta yukarıda bahsedilen uzaktan yönetim araçlarından biri devre dışı kalıyordu
En son taktikler ve araçlar, çeşitli şekillerde Mango Kum Fırtınası ve Statik Kedi Yavrusu olarak bilinen grup için bazı yönlerden bir devamı, diğer yönlerden ise bir evrimi temsil ediyor herkese açık olarak indirildi resmi web sitesinden postalamak X’te (eski adıyla Twitter) paylaşıldı