İranlı ulus devlet aktörü Çamurlu su N-able’ın Gelişmiş İzleme Aracısı adı verilen meşru bir uzaktan yönetim aracını konuşlandırması için iki İsrail kuruluşunu hedef alan yeni bir hedef odaklı kimlik avı kampanyasıyla ilişkilendirildi.
Saldırıların ayrıntılarını açıklayan siber güvenlik firması Deep Instinct, kampanyanın geçmişte ScreenConnect, RemoteUtilities, Syncro gibi diğer uzaktan erişim araçlarını dağıtmak için benzer saldırı zincirlerini kullanan “daha önce bildirilen MuddyWater etkinliğine ilişkin güncellenmiş TTP’leri gösterdiğini” söyledi. ve SimpleHelp.
En son gelişme, MuddyWater’ın N-able’ın uzaktan izleme yazılımı kullanılarak ilk kez gözlemlendiğine işaret etse de, aynı zamanda büyük ölçüde değişmeyen işleyiş tarzının tehdit aktörüne bir miktar başarı sağlamaya devam ettiği gerçeğinin de altını çiziyor.
Bulgular siber güvenlik şirketi Group-IB tarafından da ayrı ayrı doğrulandı. postalamak X’te (eski adıyla Twitter) paylaşıldı.
Devlet destekli grubun, İran İstihbarat ve Güvenlik Bakanlığı (MOIS) bünyesinde alt bir unsur olduğu söylenen ve OilRig, Lyceum, Agrius ve Scarred Manticore gibi MOIS’e bağlı diğer kümelere katılan bir siber casusluk ekibi olduğu söyleniyor. En az 2017’den beri aktiftir.
Önceki saldırı dizileri, doğrudan bağlantıların yanı sıra çeşitli dosya paylaşım platformlarında barındırılan arşivlere bağlantılar içeren HTML, PDF ve RTF ekleri içeren hedef odaklı kimlik avı e-postalarının gönderilmesini gerektiriyordu ve sonuçta yukarıda bahsedilen uzaktan yönetim araçlarından biri devre dışı kalıyordu.
En son taktikler ve araçlar, çeşitli şekillerde Mango Kum Fırtınası ve Statik Kedi Yavrusu olarak bilinen grup için bazı yönlerden bir devamı, diğer yönlerden ise bir evrimi temsil ediyor.
Bu sefer farklı olan, çok aşamalı bir enfeksiyon vektörünü başlatmak için Storyblok adı verilen yeni bir dosya paylaşım hizmetinin kullanılmasıdır.
Güvenlik araştırmacısı Simon Kenin Çarşamba günü yaptığı analizde, “Gizli dosyalar, bulaşmayı başlatan bir LNK dosyası ve bir uzaktan yönetim aracı olan Advanced Monitoring Agent’ı çalıştırırken sahte bir belgeyi ortaya çıkarmak için tasarlanmış yürütülebilir bir dosya içeriyor.” dedi.
“Kurban enfeksiyon kaptıktan sonra MuddyWater operatörü meşru uzaktan yönetim aracını kullanarak virüs bulaşmış ana makineye bağlanacak ve hedef üzerinde keşif yapmaya başlayacak.”
Kurbana gösterilen yem belgesi, İsrail Kamu Hizmeti Komisyonu’nun resmi web sitesinden kamuya açık olarak indirilebilen resmi bir nottur.
Deep Instinct, İran’ın hızla gelişen kötü amaçlı siber yeteneklerinin bir başka işareti olarak, MuddyWater aktörlerinin MuddyC3 ve PhonyC2’nin halefi olan MuddyC2Go adlı yeni bir komuta ve kontrol (C2) çerçevesinden yararlandığını da tespit ettiğini söyledi.