Deep Instinct, en az 2017’den beri aktif olan yeni bir MuddyWater tehdit kampanyası belirledi ve sıklıkla Amerika, Avrupa ve Asya ülkelerinde yüksek değerli hedeflere yönelik kampanyalar yürütüyor.
MERCURY veya Static Kitten olarak da bilinen MuddyWater, yakın zamanda ABD Siber Komutanlığı tarafından İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) atfedilen bir APT grubudur.
MuddyWater Grubunun Yeni Kampanyası
Önceki araştırmalar, 2020’de MuddyWater’ın doğrudan bağlantıların yanı sıra “ws”de barındırılan arşivlere bağlantılar içeren PDF ve RTF ekleri içeren spearphishing e-postaları gönderdiğini ortaya çıkardı.[.]onehub[.]com.
Bu arşivler, meşru bir uzaktan yönetim aracı olan “RemoteUtilities” yükleyicisini içeriyordu.
2021’in başında, MuddyWater tarafından gönderilen Spearphishing e-postalarının ya doğrudan bağlantılar ya da arşivlere bağlantı içeren Word belgeleri içerdiği görüldü.
Deep Instinct araştırmacısı, “Bu kampanyayla ilgili potansiyel bir dosya gözlemlendi, ancak her zamanki ScreenConnect yerine Atera Agent içeriyordu, bu da potansiyel olarak tehdit aktörünün uzun süredir devam eden kampanyasının tespit edilmesini önlemek için başka bir uzaktan yönetim aracına geçtiğinin sinyalini veriyor”, diye açıklıyor Deep Instinct araştırmacısı.
Ayrıca, “Syncro” adlı yepyeni bir uzaktan yönetim aracının piyasaya sürülmesi, bu kampanyayı önceki dalgalardan ayırıyor.
Syncro, Yönetilen Hizmet Sağlayıcıların (MSP’ler) işlerini yürütmeleri için tam özellikli bir platformdur. Syncro, MSP’ler için özel olarak sağlanan MSI dosyasıyla birlikte Syncro’nun kurulu olduğu herhangi bir cihazı yönetmeleri için bir aracı sağlar.
Uzaktan yönetim aracının yükleyicilerini içeren arşivler için ek ana bilgisayarların yüklenmesiyle birlikte, HTML eki şeklinde yeni bir cazibe görüldü.
Bu e-posta Mısırlı bir veri barındırma şirketinden gönderilmiştir. Bu kez MuddyWater, arşivi Dropbox kullanarak Syncro kurulumuyla barındırdı.
Bu durumda MuddyWater, Mısırlı bir hosting şirketinin aynı adresinden aynı gün başka bir Mısırlı hosting şirketine başka bir e-posta gönderdi. E-posta bir HTML eki ile gönderilmiştir, ek bir arşiv veya yürütülebilir dosya değildir, bu da son kullanıcıda şüphe uyandırmaz çünkü HTML, kimlik avı farkındalığı eğitimi ve simülasyonlarında çoğunlukla göz ardı edilir.
HTML dosyasının içindeki bağlantı, kullanıcıları, Syncro MSI yükleyicisini içeren bir arşivin barındırıldığı OneDrive’a yönlendirir.
Son söz
Deep Instinct’e göre “Tüm bu özellikler, imzalı bir MSI yükleyicisiyle birleştiğinde, bir tehdit aktörünün ilk erişimi elde etmesi ve hedef üzerinde keşif gerçekleştirmeye başlaması için mükemmel bir silah oluşturuyor.”
Suistimal edilme olasılıkları daha yüksek olduğundan, şirket içinde yaygın olmayan uzak masaüstü çözümlerine dikkat etmeniz önerilir.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin