İran istihbarat servisiyle bağlantılı kötü şöhretli bir tehdit aktörü grubu olan MuddyWater, birkaç Batı ve Orta Doğu kuruluşunu hedef alan yeni bir kötü amaçlı yazılım kampanyası yürütüyor. “MuddyRot” olarak adlandırılan kötü amaçlı yazılım, C’de geliştirilen ve çok çeşitli yeteneklere sahip bir arka kapı implantı olup, öncelikle Türkiye, Azerbaycan, Ürdün, Suudi Arabistan ve İsrail gibi Orta Doğu’daki çeşitli ülkelere saldırmak için kullanıldı.
MuddyRot Kötü Amaçlı Yazılım
Sekoia’daki araştırmacılar, yeni MuddyRot kötü amaçlı yazılımının kötü amaçlı PDF dosyaları aracılığıyla dağıtıldığını ve başarılı bir saldırının ardından Exchange veya SharePoint sunucuları gibi internete açık sunucuları ele geçirmek için genel istismarlardan yararlandığını ve tüm ağ içinde yatay olarak hareket ettiğini gözlemledi.
Bu aşamadan sonra tehdit aktörleri, güvenlik önlemlerini aşmak ve alıcının gözünde meşruiyet görünümünü artırmak için ele geçirilen e-posta hesaplarından hedefli kimlik avı e-postaları gönderdi.
MuddyRot, güvenlik araçları tarafından tespit edilmekten kaçınmak için gizleme ve şifrelemenin bir kombinasyonunu kullanan karmaşık bir kötü amaçlı yazılımdır. Kötü amaçlı yazılım, yürütüldüğünde dizeleri gizler, gerekli işlevleri yükler ve program üzerinde özel kontrol sağlamak için bir ‘mutex’ (diğer işlemlerden aynı anda erişimi engelleyen kilitleme programı) oluşturur. Ayrıca, potansiyel dijital ayak izini azaltmak için dinamik içe aktarma yüklemesi kullanır.
Kötü amaçlı yazılım, zamanlanmış bir görev oluşturarak ve kendisini bir sistem dizinine kopyalayarak enfekte olmuş ana bilgisayarda kalıcılık kurar. Daha sonra ham bir TCP soketi üzerinden komut ve kontrol (C2) sunucusuyla iletişim kurar.
MuddyRot kötü amaçlı yazılımı, dosya yükleme ve indirme, ters kabuk ve işlem sonlandırma gibi çeşitli komutları destekler. Ters kabuk yeteneği, operatörün kurban ana bilgisayara bağlanmasına ve komutları uzaktan yürütmesine, sonuçları gerçek zamanlı olarak yakalamasına olanak tanır.
Kötü amaçlı yazılımın C2 iletişimi, gelen girdileri çözmek ve çıktıya üç bayt eklemek için sabit bir çıkarma değeri kullanılarak gizlenmiştir. Bu arka kapının geliştiricisi, ters kabuğu durdurmak için “terminate” komutunu ekledi. MuddyRot arka kapı implantı aşağıdaki komutları yürütme yeteneğine sahiptir:
Bu komutlar, tespit edilmelerini önlemek için daha fazla karartma uygulanarak TCP 443 portu üzerinden C2 sunucularına iletilir.
Taktikleri Değiştirmek
MuddyWater grubu, Atera ve SimpleHelp gibi hazır yazılım uzaktan izleme araçlarına güvenmekten, özel yapım MuddyRot implantına doğru enfeksiyon stratejisini değiştirdi. Bu geçişin kesin nedenleri bilinmemekle birlikte, araştırmacılar, bu değişimin güvenlik satıcıları tarafından bu araçların daha fazla incelenmesinden kaynaklanabileceğini ve saldırganların Atera aracının hedeflere dağıtımı sırasında zorluklarla karşılaşabileceğini tahmin ediyorlar. Bu zorluklar, grubu daha özel bir şeye geçmeye yöneltmiş olabilir.
Araştırmacılar, MuddyWater grubunun son kampanyalarında geleneksel enfeksiyon zincirinden, iyi bilinen istismarların kullanımına ve MuddyRot doğrulayıcısını yüklemek için bağlantıların gömülü olduğu PDF dosyaları içeren hedefli kimlik avı e-postalarının dağıtımına doğru bir sapma olduğunu belirtiyor. Bu yeni taktik, kötü amaçlı yazılımın tespit edilmekten kaçınmasını sağlıyor ve başarılı enfeksiyon şansını artırıyor.
Araştırmacılar, MuddyRot’un dağıtımına karşı koruma sağlamak için GitHub üzerinden potansiyel tehlike göstergelerini (IOC’ler) paylaştılar. Check Point ve ClearSky gibi diğer siber güvenlik şirketleri yakın zamanda İranlı tehdit aktörünün yeni kötü amaçlı yazılım kampanyasına yönelik kendi araştırmalarını yürüttüler.