İran devleti destekli tehdit aktörü MuddyWater’ın, karmaşık bir kötü amaçlı yazılım dağıtım kampanyası yürütmek için meşru bir uzaktan izleme ve yönetim (RMM) aracı olan Atera Agent’ı kullandığı gözlemlendi.
Bu endişe verici eğilim, 2024’ün başından bu yana inceleniyor; Ekim 2023’ten bu yana faaliyetlerde kayda değer bir artış yaşanıyor ve aynı dönemdeki Hamas saldırısıyla aynı zamana denk geliyor.
Devlet destekli siber faaliyetleriyle tanınan MuddyWater, siber saldırılarında ilk yükleri dağıtmak için meşru RMM yazılımından yararlanma geçmişine sahiptir.
Bu taktik en az 2021’den beri işleyiş tarzlarının bir parçası.
Harfang Lab raporuna göre, grubun RMM araçlarını stratejik olarak kullanması, düşük profilini korumasına olanak tanıyor ve bu da, kötü niyetli etkinliklerin normal ağ trafiğine karıştığı için tespit edilmesini daha karmaşık hale getiriyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Çamurlu Su Hackerları
SeedWorm veya TEMP.Zagros olarak da bilinen MuddyWater grubu, 2017’den beri faaliyet gösteriyor ve öncelikle Orta Doğu’daki varlıkları hedef alan casusluk kampanyalarıyla tanınıyor.
Ancak faaliyetleri küresel olarak genişledi ve telekomünikasyon, hükümet ve petrol endüstrileri de dahil olmak üzere çeşitli sektörleri etkiledi.
Grubun gelişmiş teknikleri ve devlet desteği, onları siber alanda zorlu bir tehdit haline getiriyor.
RMM aracı Atera Agent, BT profesyonellerinin ağları yönetmesine ve uzaktan destek sağlamasına yardımcı olmak için tasarlanmıştır.
Bu tür araçlar meşru BT operasyonları için çok değerli olsa da siber saldırganlar için de çekici bir vektör sunuyor.
MuddyWater’ın Atera Agent’ı kullanması, tehdit aktörlerinin sistemlere ve ağlara yetkisiz erişim elde etmek için güvenilir yazılımları nasıl altüst edebileceğini gösteriyor.
MuddyWater’ın kampanyası, güvenliği ihlal edilmiş sistemlere kötü amaçlı yazılım dağıtmak için Atera Agent’ı kullanıyor.
Grup, RMM araçlarına olan güveni kötüye kullanarak, anında şüphe uyandırmadan kötü amaçlı yükleri dağıtabilir.
Bu yaklaşım, ilk ihlali kolaylaştırır ve hedeflenen ağlarda kalıcılığın sağlanmasına yardımcı olarak uzun vadeli erişime ve veri sızmasına olanak tanır.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Atera Temsilcisi
Son kampanyalarda Atera Agent, MuddyWater için tercih edilen bir araç haline geldi.
Yazılımın meşru yapısı, tehdit aktörlerinin operasyonlarını düzenli idari faaliyet kisvesi altında yürütmelerine olanak tanır.
Bu tür araçların meşru ve kötü niyetli kullanımı arasında ayrım yapmak giderek zorlaştığından, bunun siber güvenlik savunmaları açısından önemli sonuçları vardır.
Kampanyanın zaman çizelgesi, Hamas saldırısının ardından kötü niyetli faaliyetlerin arttığı Ekim 2023’e kadar uzanıyor.
Bu, saldırı sonrası kaotik dijital ortamın olası bir stratejik uyumunu veya fırsatçı istismarını akla getiriyor.
Zaman çizelgesi, MuddyWater’ın, en son yazılım açıklarından ve operasyonel kör noktalardan yararlanmak için yöntemlerini uyarlarken ve geliştirirken gelişen taktiklerini yansıtıyor.
MuddyWater’ın son kampanyasının ortaya çıkması, daha fazla dikkat ve sağlam siber güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.
Kuruluşlar, meşru araçların kendi ortamlarında olası kötüye kullanımının farkında olmalı ve bu tür tehditleri tespit edip hafifletmeye yönelik stratejiler uygulamalıdır.
Tehdit aktörleri geliştikçe hedefledikleri kişilerin savunmaları da gelişmelidir.
Uzlaşma göstergeleri (IOC’ler)
Hash’ler (SHA-256)
9b49d6640f5f0f1d68f649252a96052f1d2e0822feadd7ebe3ab6a3cadd75985|Atera Agent5d7eb6c36d261adeef1a59bde9eb965f5d8d7f56a2e607da913e782167ba6cb6|Atera Agent
14c270cf53a50867e42120250abca863675d37abf39d60689e58288a9e870144|Atera Agent, Tejasnetworks.com.webinar.msi
638c7a4f833dc95dbab5f0a81ef03b7d83704e30b5cdc630702475cc9fff86a2|Atera Agent, Polaristek.msi
dd2675e2f6835f8a8a0e65e9dbc763ca9229b55af7d212da38b949051ae296a5|Atera Agent, karel.com.tr.telekomünikasyonWebsemineri.msi / comviva.com.webinar.msi
165a80f6856487b3b4f41225ac60eed99c3d603f5a35febab8235757a273d1fd|Atera Agent, setup_aleh_aleh.msi
d22fd0cdd6ace24e117d7330e9996a2809c2c2cb280b12f9ea43c484d2bfcfd4|Atera Agent, setup_aleh_aleh (1).msi
f9c1a117de8519060a3bf189e72277e895345b8fece73fc0d750946c7f288367|Atera Agent, BLUMENTAL.WEBINAR.msi
2722e289767ae391e3c3773b8640a8b9f6eb24c6a9d6e541f29c8765f7a8944b|Atera Agent, IronSword.msi
ffbe988fd797cbb9a1eedb705cf00ebc8277cdbd9a21b6efb40a8bc22c7a43f0|Atera Agent
2ae6c5c2b71361f71ded4ad90bbf6ef0b0f4778caf54078c928e2017302fbe69|Atera Agent
c6128f222f844e699760e32695d405bd5931635ec38ae50eddc17a0976ccefb4|Atera Agent, מילגה.msi
ff2ae62ba88e7068fa142bbe67d7b9398e8ae737a43cf36ace1fcf809776c909|Atera Agent, תוכנת תיירות.msi
c2f95299d8aa912e1b753f3f0780a00ea6e8b5dab0245d77fcf3b6499677c328|Atera Agent, Leonardo Hotels-tourism software.msi
e89f48a7351c01cbf2f8e31c65a67f76a5ead689bb11e9d4918090a165d4425f|Atera Agent, Salary.msi
326dd85d76d33f3f04cbe7eef6d10ea73f800c84bfc3ed6f3963403c981bbb6e|Atera Agent, virtual-library.msi
ec553e14b84ccca9b84e96a9ed19188a1ba5f4bf1ca278ab88f928f0b00b9bd0|Atera Agent
09e09503962a2a8022859e72b86ad8c69dcbf79839b71897c0bf8a4c4b9f4dd6|Atera Agent, digitalform.msi
fb58c54a6d0ed24e85b213f0c487f8df05e421d7b07bd2bece3a925a855be93a|Atera Agent, תכנית מועצת מחוז גולן.msi
4b41b605ffc0e31bd9d460d5a296ac6e8cfd56a215dc131e90ec2654f0ffe31b|Malicious Zip archive, karel.com.tr.telekomünikasyonWebsemineri.zip
85103955e35a1355ce68a92eaedd8f9376de1927d95bf12657b348dea6a8077b|Malicious Zip archive, Tejasnetworks.com.webinar.zip
bab601635aafeae5fbfe1c1f7204de17b189b345efd91c46001f6d83efbb3c5a|Malicious Zip archive, comviva.com.webinar.zip
900d08037d303d9b3d4a855e1a97d1f9283c28fe279e67eefe9997f856eeb439|Malicious Zip archive
cc8be1d525853403f6cfabcf0fc3bd0ca398ece559388102a7fc55e9f3aa9b33|Malicious Zip archive
7daab239271e088f04cae95627cc0066f48a1b178a1ff60b1140aa729126e928|Malicious Zip archive, Leonardo Hotels-tourism software.zip
cc4cc20b558096855c5d492f7a79b160a809355798be2b824525c98964450492|Malicious Zip archive, Salary.zip
31591fcf677a2da2834d2cc99a00ab500918b53900318f6b19ea708eba2b38ab|Malicious Zip archive, תכנית מועצת מחוז גולן.zip
f17f6866f4748e6e762752062acdf983d3b083371db83503686b91512b9bcae3|Malicious Zip archive, digitalform.zip
7e6a5e32596b99f45ea9099a14507a82c10a460c56585499d7cd640f2625567f|Malicious Zip archive, Polaristek.zip
fb02e97d52a00fca1580ca71ed152dd28dd5ae28ab0a9c8e7b32cebd7f1998a1|Malicious Zip archive, מילגה.zip
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo