İran bağlantılı tehdit aktörü şu şekilde takip edildi: Çamurlu su (diğer adıyla Mango Sandstorm veya TA450), Mart 2024'te Atera adında meşru bir Uzaktan İzleme ve Yönetim (RMM) çözümü sunmayı amaçlayan yeni bir kimlik avı kampanyasıyla ilişkilendirildi.
Proofpoint, 7 Mart'tan 11 Mart haftasına kadar gerçekleştirilen etkinliğin küresel üretim, teknoloji ve bilgi güvenliği sektörlerini kapsayan İsrail kuruluşlarını hedef aldığını söyledi.
Kurumsal güvenlik firması, “TA450, kötü amaçlı bağlantılar içeren PDF ekleri içeren e-postalar gönderdi” dedi. “Bu yöntem TA450'ye yabancı olmasa da, tehdit aktörü son zamanlarda bu ekstra adımı eklemek yerine kötü amaçlı bağlantıları doğrudan e-posta mesaj gövdelerine eklemeyi tercih etti.”
MuddyWater, Ekim 2023'ün sonlarından bu yana İsrailli kuruluşlara yönelik saldırılara atfediliyor; Deep Instinct'in önceki bulguları, tehdit aktörünün N-able'ın başka bir uzaktan yönetim aracını kullandığını ortaya çıkardı.
Bu, İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı olduğu değerlendirilen düşmanın, stratejik hedeflerine ulaşmak için meşru uzak masaüstü yazılımına güvenmesi nedeniyle mercek altına alınması ilk kez değil. Ayrıca ScreenConnect, RemoteUtilities, Syncro ve SimpleHelp kullanılarak da gözlemlenmiştir.
En son saldırı zincirleri, MuddyWater'ın Egnyte, Onehub, Sync ve TeraBox gibi dosya paylaşım sitelerinde barındırılan dosyalara bağlantılar yerleştirmesini içeriyor. Ödeme temalı kimlik avı mesajlarından bazılarının, “co.il” (İsrail) alanıyla ilişkili, güvenliği ihlal edilmiş olması muhtemel bir e-posta hesabından gönderildiği söyleniyor.
Bir sonraki aşamada, PDF yem belgesinde bulunan bağlantıya tıklamak, sonuçta Atera Agent'ı ele geçirilen sisteme yükleyen bir MSI yükleyici dosyasını içeren bir ZIP arşivinin alınmasına yol açar. MuddyWater'ın Atera Agent kullanımı Temmuz 2022'ye kadar uzanıyor.
MuddyWater'ın taktiklerindeki değişiklik, Lord Nemesis adlı İranlı bir hacktivist grubun, bir yazılım tedarik zinciri saldırısı durumunda Rashim Software adlı bir yazılım hizmetleri sağlayıcısına saldırı düzenleyerek İsrail akademik sektörünü hedef almasıyla ortaya çıktı.
Op Innovate, “Lord Nemesis'in, Rashim ihlalinden elde edilen kimlik bilgilerini, çok sayıda akademik enstitü de dahil olmak üzere şirketin birçok müşterisine sızmak için kullandığı iddia ediliyor.” dedi. “Grup, ihlal sırasında hassas bilgiler elde ettiğini ve bunları daha sonraki saldırılar için veya etkilenen kuruluşlara baskı uygulamak için kullanabileceğini iddia ediyor.”
Lord Nemesis'in, yönetici hesabını ele geçirerek ve ilgilenilen kişisel verileri toplamak için şirketin yetersiz çok faktörlü kimlik doğrulama (MFA) korumalarından yararlanarak Rashim'in altyapısına kazandığı yetkisiz erişimi kullandığına inanılıyor.
Ayrıca, ilk ihlalin gerçekleşmesinden dört ay sonra, 4 Mart 2024'te 200'den fazla müşterisine olayın boyutunu ayrıntılarıyla anlatan e-posta mesajları gönderdi. Tehdit aktörünün Rashim'in sistemlerine erişim sağladığı kesin yöntem açıklanmadı.
Güvenlik araştırmacısı Roy Golombick, “Olay, üçüncü taraf satıcıların ve ortakların oluşturduğu önemli riskleri (tedarik zinciri saldırısı) vurguluyor” dedi. “Bu saldırı, jeopolitik gündemlerini ilerletmenin bir yolu olarak daha küçük, kaynakları sınırlı şirketleri hedef alan ulus devlet aktörlerinin artan tehdidini vurgulamaktadır.”
“Lord Nemesis grubu, Rashim'in yönetici hesabını başarıyla ele geçirerek, çok sayıda kuruluş tarafından uygulanan güvenlik önlemlerini etkili bir şekilde atlattı ve kendilerine yüksek ayrıcalıklar ve hassas sistemlere ve verilere sınırsız erişim sağladı.”