Group-IB Tehdit İstihbaratı, İran bağlantılı Gelişmiş Kalıcı Tehdit grubu MuddyWater tarafından düzenlenen ve yabancı istihbarat toplamak amacıyla dünya çapındaki uluslararası kuruluşları hedef alan karmaşık bir kimlik avı kampanyasını ortaya çıkardı.
Kampanya, tehdit aktörünün yüksek değerli hedeflere sızmak için güvenilir iletişim kanallarından yararlanma konusunda gelişen taktiklerini ve gelişmiş operasyonel olgunluğunu gösteriyor.
MuddyWater operasyonu, tehdit aktörünün faaliyetlerini maskelemek için kötüye kullandığı meşru bir hizmet olan NordVPN aracılığıyla güvenliği ihlal edilmiş bir posta kutusuna erişerek başlattı.
Grup, ele geçirilen bu hesabı kullanarak, güvenilir kaynaklardan gelen gerçek yazışmalar gibi görünen kimlik avı e-postaları gönderdi.
Kampanya, bu tür iletişimlerle ilişkili otorite ve güveni istismar ederek, alıcıları kötü niyetli eklentiler açmaya ikna etme şansını önemli ölçüde artırdı.
Kimlik avı e-postaları, alıcılardan bulanık içeriği görüntülemek için makroları etkinleştirmelerini isteyen Microsoft Word belgeleri içeriyordu.
Makrolar etkinleştirildiğinde, belgeler kötü amaçlı Visual Basic for Application kodunu çalıştırdı ve sonuçta Phoenix arka kapısının 4. sürümünü kurbanların sistemlerine dağıttı.
Bu arka kapı, komuta ve kontrol altyapısıyla sürekli iletişim kurarak uzaktan kontrole, veri toplamaya ve istismar sonrası diğer faaliyetlere olanak sağladı.
Yüksek Güvenilirlik İlişkilendirmesi
Group-IB, araştırma ve analiz sırasında gözlemlenen çeşitli göstergelere dayanarak bu kampanyayı yüksek güvenle MuddyWater’a atfeder.
Bırakılan kötü amaçlı yazılım aileleri (FakeUpdate enjektörü ve Phoenix arka kapısı), daha önce yalnızca MuddyWater operasyonlarında gözlemlenen özel kötü amaçlı yazılımlardır.
Belgelere yerleştirilmiş kötü amaçlı makro, geçmiş MuddyWater kampanyalarında kullanılan makrolarla benzer mantığı paylaşıyor.
Ek olarak, komut ve kontrol sunucusu, diğer MuddyWater bağlantılı kötü amaçlı yazılımlarda gözlemlenen aynı dize kod çözme tekniklerini kullanan özel bir tarayıcı kimlik bilgisi hırsızını barındırıyor.
Aynı altyapı, MuddyWater’ın daha önce uzaktan erişim ve kalıcılık için kullandığı PDQ RMM araçlarını da içeriyor.
Hedefleme kalıpları MuddyWater’ın tarihsel mağduriyetiyle uyumludur; özellikle Avrupa, Afrika ve Kuzey Amerika’da genişleyen operasyonlarla Orta Doğu bölgesine odaklanmaktadır.
Kimlik avı e-postası alıcılarının incelenmesi, dikkate değer hedefleme modellerini ortaya koyuyor. Kampanya, hem resmi hükümet hesaplarını hem de Yahoo, Gmail ve Hotmail’deki kişisel e-posta adreslerini içeriyordu; bu da MuddyWater’ın hedefleri hakkında ayrıntılı bilgiye sahip olduğunu gösteriyor.
Odak noktası, aktörün daha geniş jeopolitik motivasyonlarını vurgulayarak, uluslararası işbirliği ve insani misyonlarla ilgilenen etkili küresel kuruluşlara kadar genişledi.
Group-IB, mevcut operasyonla teknik ve altyapı örtüşmelerini paylaşan ek kötü amaçlı belgeler tespit etti; bu da ilgili veya eş zamanlı kampanyaları içeren faaliyetlerin devam ettiğini gösteriyor.
Belgelerden biri, devam eden jeopolitik gerilimleri ele alan bir hükümet organizasyonu seminerini taklit ederken, bir diğeri Orta Doğu ve Kuzey Afrika’daki enerji sektörünü hedef alıyordu.
Altyapı araştırması sırasında Group-IB, saldırganın komuta ve kontrol sunucusunda barındırılan özel araçları ve uzaktan izleme yönetimi yardımcı programlarını belirledi.
E-posta başlığındaki x-originating-ip değeri, Fransa’da bulunan bir NordVPN çıkış düğümüdür. X-originating-ip başlığı, e-postayı posta sunucusuna ilk gönderen istemcinin veya cihazın orijinal IP adresini gösterir.
Bunlar arasında, hesap makinesi uygulaması görünümüne bürünmüş özel bir Chromium tarayıcı kimlik bilgileri hırsızının yanı sıra uzaktan yönetim ve komut yürütmeye yönelik Action1 ve PDQ RMM yardımcı programları yer alıyor.
Kimlik bilgisi hırsızı, tarayıcı profili dizinlerini sıralar, şifreleme anahtarlarını çıkarır, etkin tarayıcı işlemlerini sonlandırır ve Google Chrome, Opera, Brave ve Microsoft Edge’den depolanan oturum açma kimlik bilgilerini toplar.
Çalınan kimlik bilgileri, kullanıcı şüphesini en aza indirmek için tarayıcı yeniden başlatılmadan önce bir hazırlama dosyasına yazılır.
Devam eden jeopolitik gerilimlerin ortasında MuddyWater’ın hükümet hedeflerine sürekli odaklanması göz önüne alındığında Group-IB, yeni ele geçirilen hesaplardan ve değişen yüklerden yararlanarak benzer kampanyaların devam etmesini bekliyor.
Özel kötü amaçlı yazılım ailelerinin yeniden kullanılması ve değiştirilmesine ilişkin tutarlı model, uzun vadeli bir stratejik istihbarat hedefinin altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.