Yaygın olarak İran bağlantılı bir casusluk aktörü olarak tanınan Gelişmiş Kalıcı Tehdit grubu MuddyWater, Orta Doğu, Kuzey Afrika ve ötesinde 100’den fazla devlet kuruluşunu ve uluslararası kuruluşu hedef alan karmaşık bir kimlik avı kampanyası düzenledi.
Ağustos 2025’in ortasında aktif hale gelen operasyon, geleneksel güvenlik savunmalarından kaçmak için tasarlanan yeni geliştirilen araçların yanı sıra Phoenix arka kapı kötü amaçlı yazılımının 4. versiyonunun tanıtılmasıyla grubun ticari faaliyetlerinde önemli bir artışı temsil ediyor.
Kampanya, aldatıcı derecede basit ama etkili bir teknikle ivme kazandı: NordVPN aracılığıyla erişilen, güvenliği ihlal edilmiş bir posta kutusu.
MuddyWater, güvenilir kuruluşların meşru yazışmalarını taklit ederek yüksek değerli hedeflere kimlik avı e-postaları göndermek için bu erişim noktasından yararlandı.
E-postalar, zararsız görünen ve alıcıları belgeyi görüntülemek için “içeriği etkinleştirmeye” yönlendiren Microsoft Word ekleri içeriyordu.
Bu sosyal mühendislik yaklaşımı, kullanıcıların tanıdık iletişim kanallarına olan güveninden yararlandı ve başarılı enfeksiyon olasılığını önemli ölçüde artırdı.
Alıcılar Word belgeleri içindeki makroları etkinleştirdikten sonra, sistemlerinde kötü amaçlı Visual Basic for Application kodu çalıştırıldı ve çok aşamalı bir saldırı zinciri başlatıldı.
.webp)
Gömülü makrolar, geleneksel dosya tabanlı algılama mekanizmalarını atlayarak şifrelenmiş yüklerin şifresini çözen ve doğrudan kendi işlem belleğine enjekte eden enjektör tarzı bir bileşen olan FakeUpdate yükleyiciyi alıp çalıştırarak bir damlalık işlevi gördü.
Group-IB analistleri, ikinci aşama yükünün, yalnızca MuddyWater operasyonlarına bağlı özel bir kötü amaçlı yazılım olan Phoenix arka kapı sürüm 4 olduğunu belirledi.
Bu son yineleme, Winlogon kabuk değerindeki değişiklikler yoluyla kayıt defteri tabanlı kalıcılığı kullanan ve eş zamanlı olarak koordinasyon için muteks nesneleri oluşturan teknolojik gelişmeyi göstermektedir.
Arka kapı, saldırganın komuta ve kontrol altyapısına sahip virüslü ana bilgisayarları kaydeder ve uzaktan komut yürütmeye, veri sızdırmaya ve istismar sonrası faaliyetlere olanak tanıyan sürekli işaret ilişkileri kurar.
Teknik Gelişim ve Kalıcılık Mekanizmaları
Phoenix v4 çeşidi, geleneksel kayıt defteri manipülasyonunun ötesinde gelişmiş kalıcılık taktikleri sunar.
Analiz, alternatif yürütme yolları aracılığıyla Mononoke.exe gibi ek kötü amaçlı yazılımları başlatmak için tasarlanmış gömülü Bileşen Nesne Modeli Dinamik Bağlantı Kitaplığı yapıtlarını ortaya çıkardı.
Kötü amaçlı yazılım, WinHTTP protokolleri aracılığıyla C2 sunucularıyla iletişim başlatmadan önce bilgisayar adları, etki alanı yapılandırmaları, Windows sürümleri ve kullanıcı kimlik bilgileri gibi kapsamlı sistem bilgilerini sistematik olarak toplar.
Komut eşlemeleri dosya yükleme, kabuk yürütme ve uyku aralığı değişikliklerine yönelik desteği göstererek saldırganlara güvenliği ihlal edilmiş sistemler üzerinde ayrıntılı kontrol sağlar.
Altyapı araştırması, sabit kodlanmış C2 alanı ekranını ortaya çıkardı[.]çevrimiçi, 17 Ağustos 2025’te kaydedildi ve yaklaşık beş gündür faaliyette.
Gerçek sunucu adresi olan 159.198.36.115, özel bir Chromium tarayıcı kimlik bilgisi hırsızı ve PDQ ve Action1 gibi yasal Uzaktan İzleme ve Yönetim yardımcı programları dahil olmak üzere ek araçları barındırıyordu.
Kimlik bilgisi hırsızı, şifrelenmiş ana anahtarları çıkararak ve toplanan kimlik bilgilerini sızma amacıyla hazırlama dosyalarına yazarak özellikle Chrome, Opera, Brave ve Microsoft Edge’de depolanan şifreleri hedefler.
MuddyWater’ın özel kötü amaçlı yazılımları meşru RMM çözümleriyle birleştiren bu entegre araç setini kullanması, operasyonel güvenlik ve kalıcılık mekanizmalarına ilişkin gelişmiş bir anlayış sergileyerek grubun fırsatçı kampanyalar yerine uzun vadeli casusluk hedeflerine olan bağlılığının altını çiziyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
