MuddyViper Arka Kapısı
Son dönemdeki bir casusluk dalgası, akademi, mühendislik, yerel yönetim, imalat, teknoloji, ulaşım ve kamu hizmetleri alanlarındaki çok çeşitli İsrail kuruluşlarını hedef aldı. İran devlet bağlantılı aktörlere atfedilen operasyon, MuddyViper adı verilen ve daha önce bilinmeyen bir arka kapıyı devreye sokarak grubun taktiklerinde yeni bir tırmanışa işaret etti. Mısır merkezli bir teknoloji firması da hedef tahtasına oturdu ve operasyon Eylül 2024 sonundan Mart 2025 ortasına kadar sürdü.
İçindekiler
Genişleyen Yeteneklere Sahip Tanıdık Bir Rakip
Saldırılar, İran İstihbarat ve Güvenlik Bakanlığı'na bağlı olarak faaliyet gösterdiği değerlendirilen Mango Sandstorm, Static Kitten veya TA450 olarak da bilinen MuddyWater adlı grupla ilişkilendirildi. En az 2017'den beri faaliyet gösteren MuddyWater, daha önceki POWERSTATS saldırıları ve Quicksand Operasyonu sırasında PowGoop fidye yazılımının kullanımı da dahil olmak üzere uzun bir casusluk ve yıkıcı eylem geçmişine sahip.
Yayımlanan bulgulara göre grup, yerel yönetimler, hava taşımacılığı, turizm, sağlık hizmetleri, telekomünikasyon ağları, BT sağlayıcıları ve KOBİ'ler gibi İsrail hedeflerine saldırmaya devam ediyor.
Gelişen Oyun Planları: Sosyal Mühendislikten VPN Zayıflıklarından Yararlanmaya
Tehdit aktörü, genellikle hedef odaklı kimlik avı e-postalarına ve bilinen VPN güvenlik açıklarının kötüye kullanılmasına güvenerek sisteme giriş yapar. Tarihsel olarak, bu saldırılar meşru uzaktan yönetim araçlarının dağıtımını içeriyordu; bu da MuddyWater'ın operasyonlarının bir özelliğiydi. Ancak Mayıs 2024'ten bu yana, kimlik avı e-postaları BugSleep (MuddyRot olarak da bilinir) olarak bilinen gizli bir arka kapı açmaya başladı ve bu da daha özelleştirilmiş araçlara doğru bir geçişi gösteriyor.
Grubun daha geniş cephaneliği ise Blackout, AnchorRat, CannonRat, Neshta ve TreasureBox ve BlackPearl RAT gibi yükleyicilerin yayılmasına yardımcı olan Sad C2 framework'ünü içeriyor.
Oltalama İlk Adım Olmaya Devam Ediyor
En son saldırı dalgası, PDF ekleri içeren kötü amaçlı e-postalarla başlıyor. Bu PDF'ler, kurbanları Atera, Level, PDQ ve SimpleHelp gibi yaygın olarak kullanılan uzaktan erişim araçlarının indirmelerine yönlendiriyor. Saldırganlar, bir dayanak noktası elde ettikten sonra daha özel bileşenler dağıtmaya yöneliyor.
Fooder ve MuddyViper’ı tanıtıyoruz
Bu kampanya, C/C++ tabanlı MuddyViper arka kapısını şifresini çözmek ve çalıştırmak için tasarlanmış Fooder adlı bir yükleyiciyi öne çıkarıyor. Fooder'ın farklı versiyonlarının, çok sayıda platformdan (Safari hariç) tarayıcı verilerini toplamak için go-socks5 tünelleme yardımcı programlarını ve açık kaynaklı HackBrowserData aracını dağıttığı da görüldü.
MuddyViper, operatörlerin sistem ayrıntılarını toplamasına, dosya ve komutları çalıştırmasına, veri alıp vermesine ve Windows kimlik bilgilerini ve tarayıcı bilgilerini çalmasına olanak tanıyan kapsamlı bir kontrol sağlar. Gizli erişimi sürdürmek için 20 yerleşik komutu destekler. Bazı Fooder varyantları, klasik Yılan oyunu gibi gizlenir ve ilk olarak Eylül 2025'te keşfedilen bir teknik olan tespitten kaçınmak için gecikmeli yürütmeye güvenir.
Operasyonda Gözlemlenen Ek Araçlar
Araştırmacılar ayrıca kalıcılık, kimlik bilgisi hırsızlığı ve veri toplama için tasarlanmış çeşitli destekleyici araçların dağıtımını da belgelediler:
VAXOne – Veeam, AnyDesk, Xerox veya OneDrive güncelleyicisi olarak gizlenen bir arka kapı.
CE-Notes – Chrome'un uygulama bazlı şifrelemesini aşmak için tasarlanmış, Yerel Durum şifreleme anahtarını çalan bir tarayıcı verisi hırsızlığı aracı.
Blub – Chrome, Edge, Firefox ve Opera'dan giriş verilerini toplayan AC/C++ hırsızı.
LP-Notes – Kullanıcıları oturum açma bilgilerini girmeye kandırmak için sahte bir Windows Güvenlik istemi görüntüleyen AC/C++ kimlik bilgisi toplama aracı.
Lyceum ile İşbirliği: Operasyonel Bir Çakışma Ortaya Çıkıyor
Soruşturma, MuddyWater'ın faaliyetlerinin, en az 2018'den beri bölgesel siber casuslukta faaliyet gösteren OilRig'in (APT34) bir alt grubu olan Lyceum'un (Hexane, Spirlin veya Siamesekitten olarak da bilinir) operasyonlarıyla kesiştiğini ortaya koydu.
2025 başlarında tespit edilen olaylar sırasında MuddyWater, uzak masaüstü araçları ve özelleştirilmiş bir Mimikatz yükleyicisi kullanarak muhtemelen bir İsrail üretim kuruluşunun içinde ilk erişim aracısı olarak hareket etti. Çalınan kimlik bilgileri daha sonra Lyceum tarafından erişimi genişletmek ve operasyonel kontrolü ele geçirmek için kullanıldı.
Artan Operasyonel Olgunluğun Bir İşareti
Yeni bileşenlerin, özellikle de Fooder yükleyici ve MuddyViper arka kapısının tanıtımı, MuddyWater'ın teknik ve operasyonel gelişmişliğinde kayda değer bir ilerlemeyi gözler önüne seriyor. Grup, daha gizli kalıcılık mekanizmalarına, daha verimli kimlik hırsızlığına ve daha derin keşif yeteneklerine açıkça yatırım yapıyor.
Kampanya, İran yanlısı siber operatörlerin sürekli ve giderek artan tehdidini vurguluyor. Özel kötü amaçlı yazılımlar, gizli yükleyiciler, meşru uzaktan yönetim araçları ve gruplar arası iş birliği gibi unsurların birleşimi, bölgedeki kuruluşların yüksek alarm seviyesinde kalmaları ve giderek karmaşıklaşan saldırı stratejilerine karşı savunmalarını güçlendirmeleri gerektiğini gösteriyor.
