Giriş
İran merkezli tehdit grubu MuddyWater, Orta Doğu’daki diplomatik, denizcilik, finans ve telekom sektörlerine yönelik yeni bir spear-phishing kampanyası gerçekleştirmiştir. Bu saldırıda, RustyWater adı verilen bir Rust tabanlı implant kullanılmaktadır ve bu durum siber güvenlik alanında dikkate değer bir gelişim göstermektedir.
Saldırı Nasıl Çalışıyor?
MuddyWater’ın saldırı zincirleri oldukça basittir:
- Spear-phishing e-postaları, siber güvenlik yönergeleri gibi görünen içeriklerle gelmektedir.
- Açılan e-postalarda yer alan Microsoft Word belgesi, kurbanı “İçeriği etkinleştir” butonuna tıklamaya yönlendirir.
- Bu tıklama, kötü amaçlı bir VBA makrosunun çalışmasını sağlar ve RustyWater implantını yükler.
RustyWater, destekçi yazılımları tespit edebilir, Windows Kayıt Defteri aracılığıyla kalıcılık sağlamakta ve bir komut ve kontrol (C2) sunucusuyla (“nomercys.it[.]com”) bağlantı kurarak dosya işlemleri ve komut yürütme gerçekleştirmektedir.
Etkilenen Sistemler
RustyWater’ın tehditleri, özellikle aşağıdaki alanlarda faaliyet gösteren hedefleri işaret etmektedir:
- Bilişim Teknolojisi (IT)
- Yönetilen Hizmet Sağlayıcıları (MSP)
- İnsan Kaynakları
- Yazılım Geliştirme Şirketleri
Ayrıca, bu saldırının arka planında İran’ın İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı olduğu değerlendirilmektedir.
Çözüm ve Korunma
Son gelişmeler, MuddyWater’ın ticari taktiğinde önemli bir evrim gösterdiğini ortaya koymaktadır. Şimdi siber güvenlik uzmanlarının dikkat etmesi gereken bazı noktalar:
- MuddyWater, geçmişte PowerShell ve VBS yükleyicilerine bağımlıydı, ancak Rust tabanlı implantlar, daha yapılandırılmış ve modüler RAT (Uzaktan Erişim Aracı) yetenekleri sunmaktadır.
- RUSTRIC olarak da bilinen RustyWater, hedef sistemlerde güvenlik yazılımlarını tespit ederek ilerlemekte ve nasıl bir içerik taşıdığına dikkat edilmesi gerekmektedir.
Sonuç
Kullanıcıların, siber tehditlere karşı korunmak için aşağıdaki adımları atması önerilmektedir:
- Güvenlik yazılımlarını güncellemeleri ve sistemdeki yazılımları en son sürümlerle yenilemeleri.
- Gerekmedikçe belirsiz e-postalardan gelen dosyaları açmamaları ve içerik etkinleştirmelerini kesinlikle yapmamaları.
- Portları kapatmak ve gereksiz hizmetleri devre dışı bırakmak.
Bu tür önlemler, siber güvenlik ihlalleri riskini azaltmada kritik öneme sahiptir.
