Gelişmiş Kalıcı Tehdit (APT) MuddyWater, Orta Doğu, Kuzey Afrika ve dünya çapındaki uluslararası kuruluşlarda 100’den fazla devlet kuruluşunu hedef alan karmaşık bir kimlik avı kampanyası düzenledi.
Group-IB Tehdit İstihbaratı, kampanyayı büyük bir güvenle İran bağlantılı tehdit aktörüne bağladı ve grubun casusluk yeteneklerinde ve operasyonel karmaşıklığında endişe verici bir artış olduğunu ortaya koydu.
Saldırı, Phoenix arka kapı kötü amaçlı yazılım sürüm 4’ü dağıtmak için NordVPN aracılığıyla erişilen, güvenliği ihlal edilmiş bir posta kutusunun yanı sıra yüksek değerli hükümet hedeflerinden hassas istihbarat sızdırmak için tasarlanmış özel kimlik bilgisi çalma araçlarından yararlandı.
Kampanya, MuddyWater’ın gelişen ticari becerisini ve jeopolitik açıdan hassas bölgelerde devlet destekli siber casusluk operasyonlarına sürekli odaklandığını gösteriyor.
Tehdit aktörü, güvenilir iletişim kanallarından yararlanarak ve meşru hizmetleri kötüye kullanarak, geleneksel güvenlik savunmalarını başarılı bir şekilde aşarak kritik hükümet altyapısına ve diplomatik ve insani misyonlar yürüten uluslararası kuruluşlara sızdı.
Arka Kapı Dağıtımına Yönelik Kimlik Avı
MuddyWater, Fransa’da bulunan bir NordVPN çıkış düğümü aracılığıyla erişilen, güvenliği ihlal edilmiş bir hesaptan kötü amaçlı e-postalar göndererek operasyonu başlattı.
Kimlik avı e-postaları, belgeyi görüntülemek için “içeriği etkinleştirme” talimatlarıyla birlikte bulanık içerik görüntüleyerek alıcıları makroları etkinleştirmeye yönlendirmek üzere tasarlanmış Microsoft Word ekleri içeriyordu.
159.198.36.115 IP adresinde barındırılan gerçek C2 sunucu altyapısı, özel bir tarayıcı kimlik bilgisi hırsızı, PDQ Uzaktan İzleme ve Yönetim aracı ve Action1 RMM yardımcı programı dahil olmak üzere birden fazla yararlanma sonrası araç içeren açıkta kalan bir dizin içeriyordu.
Makrolar etkinleştirildikten sonra gömülü Visual Basic for Applications (VBA) kodu yürütülerek çok aşamalı bir enfeksiyon zinciri tetiklendi.
FakeUpdate olarak tanımlanan ilk damlalık, Gelişmiş Şifreleme Standardı (AES) şifrelemesini kullanarak gömülü bir ikinci aşama verisinin şifresini çözdü ve onu kendi işlem belleğine enjekte etti.
Enjekte edilen bileşen, virüslü sistemler üzerinde bir dizi keşif ve kalıcılık faaliyeti yürüten Phoenix arka kapısı sürüm 4’tü.
Arka kapı kendisini C:\ProgramData\sysprocupdate.exe dosyasına kopyaladı ve HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Windows kayıt defteri anahtarını değiştirerek, sistem yeniden başlatmalarında erişimi sürdürmek için Kabuk değerini değiştirerek kalıcılık sağladı.
Phoenix v4, virüs bulaşmış ana bilgisayarları saldırganın komuta ve kontrol altyapısına kaydetti ve uzaktan komutları yoklamak için sürekli işaret göndermeye başladı.
Arka kapı, bu verileri MuddyWater sunucularına aktarmadan önce bilgisayar adı, etki alanı, Windows sürümü ve kullanıcı adı gibi sistem bilgilerini topladı.
Kötü amaçlı yazılım, dosya yükleme ve indirme yetenekleri, kabuk yürütme ve uzaktan izleme işlevleri dahil olmak üzere birden fazla operasyonel komutu destekliyordu.
Group-IB, MuddyWater’ın operasyonel güvenlik uygulamalarını ve saldırı penceresini ortaya çıkaran kritik altyapı ayrıntılarını ortaya çıkardı.
Kötü amaçlı yazılım örnekleri, sabit kodlanmış bir C2 alanı içeriyordu.[.]çevrimiçi, 17 Ağustos 2025’te NameCheap aracılığıyla kaydoldu. Alan, 19 Ağustos’tan 24 Ağustos 2025’e kadar yalnızca beş gün boyunca çalışır durumda kaldı; bu, dikkatlice planlanmış ve zaman sınırlı bir saldırı kampanyasına işaret ediyor.
Hesap makinesi uygulaması görünümüne bürünen Chromium_Stealer, Google Chrome, Opera, Brave ve Microsoft Edge tarayıcıları tarafından depolanan kimlik bilgilerini hedef alıyor, işletim sistemi şifreleme API’lerini kullanarak ana anahtarların şifresini çözüyor ve oturum açma kimlik bilgilerini topluyor.
Stratejik Etkiler
Group-IB, önceki MuddyWater operasyonlarında özel olarak kullanılan özel kötü amaçlı yazılım aileleri, makro kodun aynı hash imzalarıyla eşleştirilmesi ve daha önce tehdit aktörüne bağlanan C2 altyapı barındırma araçları dahil olmak üzere birçok göstergeye dayanarak bu kampanyayı MuddyWater ile ilişkilendiriyor.
Ancak sunucunun gerçek IP’sinin 159 olduğunu gösteren Güvenli Yuva Katmanı (SSL) sertifikası sayesinde bunu ortaya çıkarmayı başardık.[.]198[.]36[.]NameCheap’in Otonom Sistem Numarası (ASN) altında kayıtlı olan 115.
Hedefleme kalıpları, MuddyWater’ın Orta Doğu devlet kurumları ve uluslararası kuruluşlara olan tarihsel odağıyla mükemmel bir şekilde uyumluydu.
Devam eden jeopolitik gerilimlerin ortasında MuddyWater’ın hükümet hedeflerine ısrarla odaklanması, uzun vadeli bir stratejik istihbarat hedefinin altını çiziyor.
Güvenlik araştırmacıları, tehdit aktörünün erişimi sürdürmek ve birden fazla kıtadaki yüksek değerli hedeflerden yabancı istihbarat toplamak için yeni ele geçirilen hesaplardan ve değişen yüklerden yararlanması nedeniyle benzer kampanyaların ortaya çıkmaya devam edeceğini bekliyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.