RustyWater Sıçanı
İran bağlantılı olduğu bilinen ve MuddyWater olarak adlandırılan siber saldırgan, Orta Doğu'daki diplomatik, denizcilik, finans ve telekomünikasyon kuruluşlarını hedef alan yeni bir oltalama saldırısı başlattı. Faaliyet, Rust tabanlı bir kötü amaçlı yazılım olan RustyWater'ı merkeze alıyor ve grubun özel olarak tasarlanmış kötü amaçlı yazılımlara doğru istikrarlı evriminde bir başka adımı işaret ediyor.
Mango Sandstorm, Static Kitten ve TA450 adlarıyla da takip edilen MuddyWater'ın, İran İstihbarat ve Güvenlik Bakanlığı (MOIS) adına faaliyet gösterdiği yaygın olarak değerlendirilmektedir. Grup en az 2017'den beri aktif olup, bölgesel hükümet ve özel sektör hedeflerine sürekli olarak odaklanmaktadır.
İçindekiler
Bulaşma Vektörü: Silahlandırılmış Belgeler ve Görsel Aldatma
Saldırı zinciri nispeten basit ama etkilidir. Kurbanlar, resmi siber güvenlik kılavuzu gibi görünmek üzere tasarlanmış hedefli kimlik avı e-postaları alırlar. Bu mesajlar, meşru görünmek için simge sahtekarlığından yararlanan kötü amaçlı bir Microsoft Word eki içerir.
Belge açıldığında, kullanıcıya 'İçeriği etkinleştir' seçeneği sunulur. Bu isteği kabul etmek, Rust tabanlı zararlı yazılımı bırakan ve çalıştıran kötü amaçlı bir VBA makrosunu tetikler. Bu sosyal mühendislik adımı, kampanyanın başarısı için kritik önem taşımaktadır.
Kötü Amaçlı Yazılımın Yetenekleri: RustyWater İmplantının İç Yapısı
RustyWater, Archer RAT veya RUSTRIC olarak da bilinen, gizlilik ve esneklik için tasarlanmış modüler bir uzaktan erişim truva atı olarak işlev görür. Kurulduktan sonra, bulaşmış sistem hakkında ayrıntılı bilgi toplar, yüklü güvenlik ürünlerini kontrol eder ve bir Windows Kayıt Defteri anahtarı aracılığıyla kalıcılık sağlar.
İmplant daha sonra 'nomercys.it[.]com' adresindeki bir komuta ve kontrol sunucusuyla iletişimi başlatarak eşzamansız etkileşimi mümkün kılar. Bu kanal aracılığıyla operatörler komutları yürütebilir, dosyaları yönetebilir ve ek modüller aracılığıyla işlevselliği genişleterek uzun vadeli, güvenlik ihlali sonrası operasyonları destekleyebilirler.
Zanaatkarlık Evrimi: Doğadan Geçinmekten Özel Aletlere Geçiş
Tarihsel olarak, MuddyWater hem ilk erişimi hem de takip eden faaliyetleri gerçekleştirmek için büyük ölçüde PowerShell ve VBS yükleyicilerine ve meşru uzaktan erişim araçlarına güveniyordu. Zamanla, grup bu bağımlılığı kasıtlı olarak azaltarak, giderek büyüyen özel kötü amaçlı yazılım portföyüne yöneldi.
Bu özel ekosistem, Phoenix, UDPGangster, BugSleep (MuddyRot olarak da adlandırılır) ve MuddyViper gibi araçları içerir. Rust tabanlı implantların benimsenmesi, analiz edilmesi ve tespit edilmesi daha zor olan, daha yapılandırılmış, modüler ve daha az gürültülü yeteneklere doğru bir geçişi yansıtmaktadır.
Daha Geniş Kapsamlı Faaliyet: RUSTRIC Orta Doğu’nun Ötesinde
Aralık 2025'in sonlarında, araştırmacılar İsrail'deki bilgi teknolojisi firmalarını, yönetilen hizmet sağlayıcılarını, insan kaynakları departmanlarını ve yazılım geliştirme şirketlerini hedef alan bir dizi ilgili sızma girişiminde RUSTRIC'in kullanıldığını bildirdi. Bu faaliyet kümesi UNG0801 ve IconCat Operasyonu olarak takip ediliyor.
Bu bulgular, RustyWater'ın izole bir deney değil, MuddyWater'ın genişleyen saldırı araç setinin aktif bir bileşeni olduğunu vurguluyor.
Stratejik Sonuçlar: Daha Olgun Bir Rakip
RustyWater'ın ortaya çıkışı, MuddyWater'ın kalıcılık, modüler genişleme ve atlatma için tasarlanmış özel amaçlı kötü amaçlı yazılımlara yaptığı sürekli yatırımı vurgulamaktadır. Bu ilerleme, açık ve yoğun komut dosyası kullanımından ziyade daha sessiz, uzun vadeli erişimi destekleyen araçlarla daha olgun bir operasyonel duruşu işaret etmektedir.
Savunmacılar için bu gelişme, belge tabanlı kimlik avı tuzaklarını inceleme, kayıt defteri tabanlı kalıcılık mekanizmalarını izleme ve özellikle yeni gözlemlenen Rust kötü amaçlı yazılım aileleriyle ilişkili olağandışı giden bağlantıları yakından inceleme ihtiyacını pekiştiriyor.
