İran’ın MuddyWater grubu Snake oyunu kılığında İsrail ve Mısır’daki
kritik altyapıları hedef alıyor
Görünüşte oyun gerçekte siber casusluk
Siber güvenlik çözümlerinde dünya lideri ESET İran bağlantılı siber casusluk grubu MuddyWater’ın İsrail ve Mısır’a yönelik faaliyetlerini tespit ederek bu kampanyada kullanılan araçların teknik analizlerini paylaştı. ESET araştırmacılarının bulgularına göre İsrail’deki kritik altyapı kuruluşlarını hedef alan grup, yeni bir arka kapı olan MuddyViper’ı, onu belleğe yansıtıcı olarak yükleyen ve çalıştıran bir yükleyici (Fooder) kullanarak daha gelişmiş tekniklerle dağıttı.
İran İstihbarat ve Ulusal Güvenlik Bakanlığı ile bağlantılı bir siber casusluk grubu olan MuddyWater Mango Sandstorm veya TA450 olarak da biliniyor. Bu grup, genellikle özel kötü amaçlı yazılımlar ve halka açık araçlar kullanarak hükümet ve kritik altyapı sektörlerini hedef alıyor. ESET araştırmacıları, MuddyWater’ın öncelikli olarak İsrail’deki teknoloji, mühendislik, imalat, yerel yönetim ve eğitim alanındaki kuruluşları hedeflediğini, bir hedefinde Mısır’da olduğunu tespit etti. Bu kampanyada saldırganlar, savunma kaçakçılığını ve ısrarcılığı iyileştirmek amacıyla daha önce belgelenmemiş bir dizi özel araç kullanmıştır. Yeni arka kapı MuddyViper, saldırganların sistem bilgilerini toplamasına, dosyaları ve kabuk komutlarını çalıştırmasına, dosyaları aktarmasına ve Windows oturum açma kimlik bilgilerini ve tarayıcı verilerini sızdırmasına olanak tanır. Kampanya, ek kimlik bilgisi hırsızlarını da kullanır. Bu araçlar arasında, klasik Snake oyunu kılığına giren özel bir yükleyici olan Fooder de bulunmaktadır.
Bu kampanyada, ilk erişim genellikle spearphishing e-postaları yoluyla sağlanır. Bu e-postalar genellikle OneHub, Egnyte veya Mega gibi ücretsiz dosya paylaşım platformlarında barındırılan uzaktan izleme ve yönetim (RMM) yazılımlarının yükleyicilerine bağlantı içeren PDF ekleri içerir. Bu bağlantılar, Atera, Level, PDQ ve SimpleHelp gibi araçların indirilmesine yol açar. MuddyWater operatörleri tarafından kullanılan araçlar arasında, taklit ettiği meşru yazılımların adını taşıyan VAX One arka kapısı da bulunmaktadır: Veeam, AnyDesk, Xerox ve OneDrive güncelleme hizmeti.
Grubun bu tanıdık taktiğe sürekli olarak güvenmesi, faaliyetlerinin tespit edilmesini ve engellenmesini nispeten kolaylaştırmaktadır. Ancak bu durumda grup, MuddyViper adlı yeni bir arka kapıyı dağıtmak için MuddyViper’ı belleğe yansıtıcı olarak yükleyen ve çalıştıran bir yükleyici (Fooder) kullanarak daha gelişmiş teknikler de kullanmıştır. Fooder’ın birkaç sürümü, klasik Snake oyunu gibi görünmektedir, bu nedenle MuddyViper olarak adlandırılmıştır. Fooder’ın bir başka dikkat çekici özelliği, Snake oyununun temel mantığını uygulayan özel bir gecikme işlevini “Sleep” API çağrılarıyla birlikte sık sık kullanmasıdır. Bu özellikler, otomatik analiz sistemlerinden kötü amaçlı davranışları gizlemek için yürütülmesini geciktirmek amacıyla tasarlanmıştır. Ayrıca MuddyWater geliştiricileri, İran ile bağlantılı gruplar için benzersiz ve daha geniş tehdit ortamında biraz alışılmadık olan Windows’un yeni nesil kriptografik API’si CNG’yi benimsemiştir. Bu kampanya sırasında operatörler, genellikle yanlış yazılmış komutlarla karakterize edilen, tarihsel olarak gürültülü bir teknik olan uygulamalı klavyeyle etkileşimli oturumlardan kasıtlı olarak kaçındılar. Bu nedenle, bazı bileşenler MuddyWater için tipik olduğu gibi gürültülü ve kolayca tespit edilebilir olsa da genel olarak bu kampanya teknik evrim belirtileri göstermektedir: Artan hassasiyet, stratejik hedefleme ve daha gelişmiş bir araç seti.
Saldırı sonrası araç seti ayrıca birden fazla kimlik bilgisi hırsızı içerir: Chromium tabanlı tarayıcıları hedefleyen CE-Notes; çalınan kimlik bilgilerini sahneleyen ve doğrulayan LP-Notes; ve Chrome, Edge, Firefox ve Opera tarayıcılarından oturum açma verilerini çalan Blub.
MuddyWater, 2017 yılında Unit 42 tarafından ilk kez kamuoyuna tanıtıldı. Unit 42’nin grubun faaliyetlerine ilişkin açıklaması, ESET’in profil oluşturma çalışmasıyla tutarlıydı. Bu profilleme, siber casusluğa, kullanıcıları makroları etkinleştirmeye ve güvenlik kontrollerini atlamaya teşvik etmek için tasarlanmış ek olarak kötü amaçlı belgelerin kullanılmasına ve öncelikli olarak Orta Doğu’da bulunan kuruluşları hedef almaya odaklanıyordu.
Geçmişteki önemli faaliyetleri arasında, İsrail hükümet kurumlarını ve telekomünikasyon kuruluşlarını hedef alan siber casusluk kampanyası Operation Quicksand (2020) yer almaktadır. Bu kampanya, grubun temel kimlik avı taktiklerinden daha gelişmiş, çok aşamalı operasyonlara doğru evrimini göstermektedir. Ayrıca Türkiye’deki siyasi grupları ve kuruluşları hedef alan, grubun jeopolitik odak noktasını, sosyal mühendislik taktiklerini yerel bağlamlara uyarlama yeteneğini ve modüler kötü amaçlı yazılımlara ve esnek C&C altyapısına olan güvenini gösteren bir kampanya yer almaktadır.
ESET, MuddyWater’a atfedilen ve grubun gelişen araç setini ve değişen operasyonel odağını vurgulayan çok sayıda kampanyayı belgelemiştir. Mart ve Nisan 2023’te MuddyWater, Suudi Arabistan’da kimliği belirsiz bir kurbanı hedef aldı ve grup, Ocak ve Şubat 2025’te Lyceum (OilRig alt grubu) ile operasyonel olarak örtüşmesi ile dikkat çeken bir kampanya yürüttü. Bu iş birliği, MuddyWater’ın İran ile bağlantılı diğer gruplar için ilk erişim aracısı olarak hareket ediyor olabileceğini düşündürmektedir.
