2025’in başından beri, siber güvenlik analistleri İran devlet destekli ileri kalıcı tehdit (APT) grubu Muddywater’ın taktikleri ve takımlarında belirgin bir evrime tanık oldular.
Tarihsel olarak Geniş Uzaktan İzleme ve Yönetim (RMM) kampanyaları ile bilinen Muddywater, yüksek hedefli spearfishing operasyonları ve ısmarlama arka kapılar için döndü.
Bu değişim, grubun büyüyen sofistike olmasını ve özel kötü amaçlı yazılımları ana akım altyapı hizmetleriyle harmanlayarak tespitten kaçınma niyetinin altını çiziyor.
2024 yılına kadar Muddywater, Mass Phishing e-postaları aracılığıyla teslim edilen ticari olarak temin edilebilen RMM platformlarına dayanarak, barındırıcılara dosya paylaşım hizmetlerinden yararlandı.
Ancak, Ocak 2025’ten bu yana bu fırsatçı kampanyalarda belirgin bir düşüş olmuştur. Bunun yerine, grup PowerShell tabanlı implantların yanı sıra Phoenix ve Stealthcach gibi minimalist ama güçlü arka fırınların hazırlanmasına odaklanmıştır.
Phoenix, basit bir XOR rutini kullanarak gömülü bir PE yükünü şifreleyerek ve belleğe eşleyerek, ardından C2’ye periyodik HTTP iletişimini “/kayıt”, “/imalive” ve “//istek” uç noktaları yoluyla başlatarak çalışır.
Fooder Loader aracılığıyla teslim edilen StealthCache, komut alma ve günlük eksfiltrasyonu için “/AQ36” ve “//RQ13” uç noktalarına HTTPS istekleri kullanır, alternatif veri akışlarını kendi kendini ele almak ve adli artefaktlardan kaçınmak için alternatif veri akışlarından yararlanır.
Bu ısmarlama araç seti, üçüncü taraf yazılım ayak izlerine olan güvenlerini azaltırken, tehlikeye atılan ana bilgisayarlar üzerinde çamurlu su ayrıntılı kontrol sağlar.
Kimlik avı ve kötü niyetli belgeler
Özel takımlara rağmen, kötü niyetli ofis belgeleri ile spearphing, birincil enfeksiyon vektörü olarak rolünü korur.
Kötü amaçlı yazılım, basit bir XOR algoritması kullanarak gömülü bir PE dosyasını şifresini çözer, kendi işlem belleğine eşler ve yürütmeyi giriş noktasına aktarır.
Son olaylar, yan yüklü DLL yükleyicilerini çağırmadan önce yükleri genel dizinlere bırakan makroları yerleştiren ekleri gösterir.
Analistler, 25 Temmuz 2024’te aynı şekilde, paylaşılan Mutex adları ve yük karma karşılaştırmaları aracılığıyla Phoenix implantına aynı şekilde uyarılmış birden fazla kötü amaçlı belgenin dikkat çektiğini belirtti.
Bu belgeler, hükümeti ve endüstri kuruluşlarını sahte olarak kullanan kullanıcı güvenini kullanan meşru sunumlar veya bildirimler olarak maskelenir.
Bu teslimat tutarlılığını koruyarak, Muddywater, ilk uzlaşma sırasında tespiti en aza indirirken yüksek hedefleme doğruluğu sağlar.
Muddywater’ın altyapısı, ana bulut sağlayıcılarının ve kurşun geçirmez ana bilgisayarların kasıtlı bir karışımını yansıtır.
Amazon Web Services, iyi huylu varlıkları barındırmak için bir temel taşı olarak kalırken, CloudFlare’nin CDN ve DDOS Koruma Masal Sunucuları Maskesi ve Trafik Analizini engelliyor.
Bunları tamamlayan ticari sağlayıcılar – M247, DigitalOcean, OVH – ve Stark Industries gibi esnek kurşun geçirmez hizmetlerdir.
Etki alanı kayıtları, meşruiyet ödünç vermek için Let’s Encrypt ve Google Trust Sertifikalarını kullanarak öncelikle Namecheap aracılığıyla gerçekleşir.
“Netivtech’in pasif DNS analizi[.]Org, ”bilinen bir C2 alanı, grubun kısa ömürlü altyapı uygulamasını gösteren Sedo GmbH ve Cloudflare arasında hızlı IP geçişlerini ortaya koyuyor.
Analistler, paylaşılan arka uç teknolojilerine dönerek, çevrimdışı alınmadan önce yeni kötü niyetli uç noktaları ortaya çıkarmak için HTTP afişlerinde (StealthCache için Werkzzeug ve Phoenix için Uvicorn) benzersiz dizelerden yararlanıyor.
Muddywater’ın uyarlanabilir Tradecraft, özel kötü amaçlı yazılım geliştirmeyi açık kaynaklı projelerin ve ticari hizmetlerin fırsatçı kullanımı ile birleştiren, hassas casusluk ve bozulma yeteneğine sahip olgunlaşan bir tehdit aktörüne işaret ediyor.
Bu nedenle, gelişen APT kampanyalarıyla yüzleşen güvenlik ekipleri, spearphing tespiti, makro blok politikaları ve sertifika tabanlı altyapı pivotları dahil olmak üzere proaktif av önlemlerini benimsemelidir.
Muddywater çok aşamalı yüklerini ve gizleme yöntemlerini geliştirirken, tehdit istihbaratı ve olay müdahale toplulukları arasındaki işbirliği gelecekteki saldırıları azaltmak için gereklidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.