Hacking grubu MuddyWater tarafından, güvenliği ihlal edilmiş bir e-posta hesabından hedeflere meşru bir uzaktan erişim aracının gönderildiği yeni bir kampanya ortaya çıkarıldı.
MuddyWater’ın İran İstihbarat ve Güvenlik Bakanlığı ile bağlantılı olduğundan şüpheleniliyor. Grup, Boggy Serpens, Cobalt Ulster, Earth Vetala, Mercury, Seedworm, Static Kitten ve TEMP.Zagros gibi diğer isimler altında çeşitli satıcılar tarafından izleniyor. Grubun telekomünikasyon, yerel yönetimler, savunma, petrol ve doğal gaz dahil olmak üzere çeşitli sektörlerdeki çeşitli hükümet ve özel kuruluşları hedef aldığına inanılıyor.
Yıllar içinde grup, Log4Shell saldırıları da dahil olmak üzere birçok farklı taktik kullandı. En yaygın yöntemi, Dropbox ve Onehub gibi meşru hizmetlerde barındırılan kötü amaçlı yazılımlara bağlantılar içeren hedefli kimlik avı e-postaları göndermektir.
Güvenliği ihlal edilmiş hesaplar
E-postalar, saldırganın tarafında yüksek bir beceri düzeyi gerektirmeden bir güven düzeyi oluşturmanın bir yolu olan güvenliği ihlal edilmiş hesaplardan gönderilir. Hedefli bir saldırıda, alıcı taraf şirketi veya hatta belki de postayı gönderdiği iddia edilen kişiyi bilir. Güvenliği ihlal edilmiş e-posta hesapları, Dark Web pazarlarından nispeten düşük bir ücret karşılığında satın alınabilir (fiyat aralığı 8-25 ABD dolarıdır).
İndirilen dosyalar, bir uzaktan erişim aracı aracısı için bir yükleyici içerir. Uzaktan erişim araçları veya uzaktan kontrol yazılımı, bir bilgisayarı diğerinden uzaktan kontrol etmenizi sağlar. Bu araçlardan bazılarının uzaktan kumanda özellikleri, kontrolöre yüksek düzeyde kontrol ile birlikte doğrudan uzak sistem üzerinde çalışıyormuş hissi verir. Bu nedenle, müşterilerinin sistemlerindeki sorunları uzaktan gidermek veya yönetmek için genellikle yönetilen hizmet sağlayıcılar (MSP’ler) tarafından kurulurlar.
senkro
Geçmişte MuddyWater, ScreenConnect, RemoteUtilities ve Atera Agent kullanıyordu, ancak mevcut kampanyada grup, MSP’ler için entegre bir iş platformu olan Syncro’ya geçti. Tehdit aktörünün dağıttığı Syncro’nun deneme sürümü, Syncro aracısının kurulu olduğu bir bilgisayar üzerinde tam kontrol sağlayan tam özellikli web arayüzünü içerir. Bu özellikler arasında SİSTEM ayrıcalıklarına sahip terminal, uzak masaüstü erişimi, tam dosya sistemi erişimi, görevler ve hizmet yöneticisi yer alır; bu, bir saldırganın hedefin ağında nüfuzunu genişletmesi için idealdir.
Azaltma
Bu tehdit aktörü, ilk erişimi elde etmek ve hedef ağın keşfini yapmak için yasal hizmetler ve araçlar kullanır, bu nedenle bunların tespit edilmesi zor olabilir.
Deep Instinct’in makalesi, IOC’lerin ve TTP’lerin bir listesini içerir. Genel olarak, yalnızca şunu tekrarlayabiliriz:
- Tanıdığınız birinden geliyor gibi görünseler bile bağlantılara tıklamayın veya beklenmedik ekleri açmayın.
- Uzaktan erişim araçlarının varlığının meşru nedenleri olsa da, bunları kimin ve neden yüklediğini bildiğinizden emin olun. Ve eylemlerini izleyin.