MuddyWater (diğer adıyla APT34 veya OilRig) olarak takip edilen İranlı bilgisayar korsanlığı grubu, Orta Doğu hükümet ağına ait en az on iki bilgisayara erişim sağladı ve Şubat ile Eylül 2023 arasında sekiz ay boyunca erişimi sürdürdü.
MuddyWater, ABD, Orta Doğu ve Arnavutluk’a yönelik saldırılarıyla bilinen İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı.
Broadcom’un bir parçası olan Symantec’in tehdit avcısı ekibi tarafından gözlemlenen saldırılar, şifreleri ve verileri çalmanın yanı sıra ” adlı bir PowerShell arka kapısı kurmak için kullanıldı.Güç Değişimi‘, Microsoft Exchange aracılığıyla komutların yürütülmesini kabul etti.
PowerExchange, ilk olarak Mayıs 2023’te, arka kapıyı APT34’e bağlayan bir Fortinet raporunda belgelendi; örnekler Birleşik Arap Emirlikleri’ndeki bir devlet kuruluşunun güvenliği ihlal edilmiş sistemlerinden alındı.
Symantec tarafından görülen saldırılarda, kötü amaçlı yazılım, sağlanan kimlik bilgilerini kullanarak bir Exchange Sunucusunda oturum açıyor ve konu satırındaki “@@” için gelen e-postaları izliyor; bu, e-postanın yürütme komutları içeren base64 kodlu bir ek içerdiğini gösteriyor.
Kötü amaçlı yazılım, genellikle dosya yazma veya dışarı çıkarma eylemleriyle ilgili rastgele PowerShell komutlarını yürüttükten sonra, tespit edilme olasılığını en aza indirmek için mesajları ‘Silinmiş Öğeler’e taşır.
Yürütülen komutların çıktısı daha sonra tehdit aktörlerine e-postayla gönderilir.
Bu saldırılarda arka kapı olarak Exchange, APT34 etkinliklerinin tipik ağ trafiğine uyum sağlamasına ve tanıtılan implantların sayısını en aza indirmesine olanak tanır.
APT34’ün son kampanyada kullandığı diğer araçlar arasında şunlar yer alıyor:
- Arka kapı.Tokel: PowerShell komutlarını yürütür ve dosyaları indirir.
- Trojan.Dirps: Dosyaları numaralandırır ve PowerShell komutlarını çalıştırır.
- Infostealer.Clipog: Pano verilerini çalar ve tuş vuruşlarını yakalar.
- Mimikatz: Kimlik bilgileri çöplüğü.
- Plink: PuTTY SSH istemcisi için komut satırı aracı.
Saldırı dokuz ay sürdü
Symantec tarafından gözlemlenen saldırılar 1 Şubat 2023’te başladı ve çok çeşitli kötü amaçlı yazılım, araç ve kötü amaçlı etkinliklerden yararlanılarak 8 ay sürdü.
Bu, ilk hafta boyunca birçok kez çalıştırılan bir PowerShell betiğinin (joper.ps1) kullanıma sunulmasıyla başladı.
5 Şubat’ta saldırganlar ağdaki ikinci bir bilgisayarı ele geçirdi ve RDP erişimini yapılandırmak için Plink’in maskelenmiş bir sürümünü (“mssh.exe”) kullandı. 21 Şubat’ta bir web sunucusunda ‘netstat /an’ komutunun çalıştırıldığı gözlemlendi.
Nisan ayında MuddyWaters, bilinmeyen toplu dosyaları (‘p2.bat’) yürüterek ve kimlik bilgilerini yakalamak için Mimikatz’ı konuşlandırarak iki sistemin daha güvenliğini tehlikeye attı.
Haziran ayında bilgisayar korsanları, ihlal edilen makinelerde Backdoor.Tokel ve PowerExchange’i çalıştırarak saldırının ana aşamasının başlangıcını işaret etti.
Sonraki ay, bilgisayar korsanları TrojanDirps ve Infostealer.Clipog’u konuşlandırdılar ve Plink ile SSH tünelleri kurdular.
Ağustos ayında bilgisayar korsanları, Log4j güvenlik açıklarına karşı Nessus taramaları gerçekleştirdiler ve ayın sonunda ikinci bir web sunucusunun güvenliğini ihlal ederek üzerine Infostealer.Clipog’u yüklediler.
1 Eylül’de saldırılar, certutil kullanarak Plink’i indiren ve ağ ve USB trafik paketlerini yakalamak için ikinci web sunucusunda Wireshark komutlarını çalıştıran üç bilgisayarı daha tehlikeye attı.
5 Eylül’de iki bilgisayar daha ihlal edildi ve üzerlerine Backdoor.Token implantasyonu uygulandı.
Saldırganların bilinmeyen bir PowerShell betiğini (‘joper.ps1’) çalıştırıp ağ paylaşımlarını bağlama/çıkarma işlemi gerçekleştirmesiyle ikinci web sunucusundaki etkinlik 9 Eylül 2023’e kadar devam etti.
Symantec, kurbanın ağındaki en az 12 bilgisayarda kötü amaçlı etkinlik gözlemlediğini söylese de, arka kapıların ve tuş kaydedicilerin düzinelerce daha fazla bilgisayara yerleştirildiğine dair kanıtlar var.
Özetle MuddyWaters, güvenliği ihlal edilmiş bir ağdaki birden fazla sistem genelinde erişimlerini genişletmek ve kalıcılığı sürdürmek için çeşitli araçlar, komut dosyaları ve teknikler kullanır.
Faaliyetleri keşif (örneğin, netstat komutları), yanal hareket (örneğin, RDP için Plink) ve veri filtreleme/toplamayı (örneğin, Mimikatz, Infostealer.Clipog) birleştirir ve bu da tehdit grubunun geniş spektrumlu yeteneklerini vurgular.
Symantec, MuddyWaters’ın 2019’da araç seti sızdırıldığında varoluşsal bir tehditle karşı karşıya olmasına rağmen, bu uzun saldırılardan tehdit aktörlerinin her zamanki gibi aktif kaldığının açıkça görüldüğü sonucuna varıyor.