MuddyWater olarak bilinen İranlı tehdit aktörü, hedeflenen sistemlere komuta etmek için meşru uzaktan yönetim araçlarına güvenme geleneğini sürdürüyor.
Ulus devlet grubu daha önce ScreenConnect, RemoteUtilities ve Syncro’yu kullanmış olsa da, Group-IB’nin yeni bir analizi, Haziran 2022’de rakibin SimpleHelp uzaktan destek yazılımını kullandığını ortaya çıkardı.
En az 2017’den beri aktif olan MuddyWater’ın İran İstihbarat ve Güvenlik Bakanlığı’nda (MOIS) ikincil bir unsur olduğu değerlendiriliyor. En önemli hedeflerden bazıları Türkiye, Pakistan, BAE, Irak, İsrail, Suudi Arabistan, Ürdün, ABD, Azerbaycan ve Afganistan’dır.
Group-IB kıdemli tehdit analisti Nikita Rostovtsev, “MuddyWater, kurban cihazlarda kalıcılığı sağlamak için meşru bir uzaktan cihaz kontrol ve yönetim aracı olan SimpleHelp’i kullanıyor” dedi.
“SimpleHelp tehlikeye atılmıyor ve amaçlandığı gibi kullanılıyor. Tehdit aktörleri, aracı resmi web sitesinden indirmenin ve saldırılarında kullanmanın bir yolunu buldu.”
SimpleHelp örneklerini bırakmak için kullanılan kesin dağıtım yöntemi şu anda net değil, ancak grubun halihazırda güvenliği ihlal edilmiş kurumsal posta kutularından kötü amaçlı bağlantılar içeren hedef odaklı kimlik avı mesajları gönderdiği biliniyor.
Group-IB’nin bulguları, bu Ocak ayının başlarında Slovak siber güvenlik firması ESET tarafından desteklendi ve MuddyWater’ın Mısır ve Suudi Arabistan’daki Ligolo ters tünel açma aracını ve MKL64 adlı kimlik bilgileri toplayıcıyı konuşlandırmak için SimpleHelp kullanımını gerektiren saldırılarını detaylandırdı.
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Koltuğumu Kurtar!
Singapur merkezli şirket ayrıca, grup tarafından işletilen şimdiye kadar bilinmeyen altyapının yanı sıra uzak bir sunucudan komutları alabilen ve sonuçları sunucuya geri gönderilen bir PowerShell betiğini tanımlayabildiğini söyledi.
Açıklama, Microsoft’un grubun bir fidye yazılımı operasyonu kisvesi altında hibrit ortamlara yıkıcı saldırılar gerçekleştirme yöntemini ayrıntılı olarak açıklamasından haftalar sonra geldi.