İran ulus-devlet grubu olarak bilinen ÇamurluSu Bu saldırının, Phoenix adlı bir arka kapıyı Orta Doğu ve Kuzey Afrika (MENA) bölgesindeki 100’den fazla devlet kurumu da dahil olmak üzere çeşitli kuruluşlara dağıtmak için ele geçirilmiş bir e-posta hesabından yararlanan yeni bir kampanyaya atfedildiği belirtiliyor.
Singapurlu siber güvenlik şirketi Group-IB bugün yayınlanan teknik raporunda, kampanyanın nihai hedefinin yüksek değerli hedeflere sızmak ve istihbarat toplamayı kolaylaştırmak olduğunu söyledi.
Kampanyanın hedeflerinin dörtte üçünden fazlası büyükelçilikler, diplomatik misyonlar, dışişleri bakanlıkları ve konsolosluklar olup, bunları uluslararası kuruluşlar ve telekomünikasyon firmaları takip etmektedir.
Güvenlik araştırmacıları Mahmoud Zohdy ve Mansour Alhmoud, “MuddyWater, tehlikeye atılan posta kutusuna NordVPN (tehdit aktörü tarafından kötüye kullanılan meşru bir hizmet) aracılığıyla erişti ve bunu, gerçek yazışmalar gibi görünen kimlik avı e-postaları göndermek için kullandı” dedi.
“Bu tür iletişimlerle ilişkili güven ve otoriteyi istismar eden kampanya, alıcıları kötü amaçlı ekleri açmaya ikna etme şansını önemli ölçüde artırdı.”
Saldırı zinciri esasen, tehdit aktörünün, açıldığında e-posta alıcılarından içeriği görüntülemek için makroları etkinleştirmelerini isteyen silahlı Microsoft Word belgeleri dağıtmasını içeriyor. Şüphelenmeyen kullanıcı özelliği etkinleştirdiğinde, belge kötü amaçlı Visual Basic for Application (VBA) kodunu yürütmeye devam eder ve Phoenix arka kapısının 4. sürümünün dağıtımıyla sonuçlanır.
Arka kapı, VBA dropper’ı tarafından kodu çözülen ve diske yazılan FakeUpdate adlı bir yükleyici aracılığıyla başlatılır. Yükleyici, Gelişmiş Şifreleme Standardı (AES) ile şifrelenmiş Phoenix verisini içerir.
Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (eski adıyla Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros ve Yellow Nix olarak da adlandırılan MuddyWater’ın İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı olduğu değerlendiriliyor. En az 2017’den beri aktif olduğu biliniyor.
Tehdit aktörünün Phoenix kullanımı ilk olarak Group-IB tarafından geçen ay belgelendi ve bunun MuddyWater’a bağlı Python tabanlı bir implant olan BugSleep’in hafif bir versiyonu olduğu belirtildi. Phoenix’in iki farklı çeşidi (Sürüm 3 ve Sürüm 4) vahşi doğada tespit edildi.
Siber güvenlik sağlayıcısı, saldırganın komuta ve kontrol (C2) sunucusunun (“159.198.36[.]115”) ayrıca uzaktan izleme ve yönetim (RMM) yardımcı programlarına ve Brave, Google Chrome, Microsoft Edge ve Opera’yı hedef alan özel bir web tarayıcısı kimlik bilgisi hırsızına da ev sahipliği yaptığının bulunması, bunların operasyonda muhtemel kullanımını akla getiriyor. MuddyWater’ın yıllar boyunca kimlik avı kampanyaları yoluyla uzaktan erişim yazılımı dağıtma geçmişine sahip olduğunu belirtmekte fayda var.
Araştırmacılar, “Phoenix v4 arka kapısı, FakeUpdate enjektörü gibi güncellenmiş kötü amaçlı yazılım türlerini ve PDQ ve Action1 gibi yasal RMM yardımcı programlarının yanı sıra özel kimlik bilgisi çalma araçlarını dağıtarak MuddyWater, gelişmiş gizlilik ve kalıcılık için özel kodu ticari araçlarla entegre etme konusunda gelişmiş bir yetenek gösterdi.” dedi.