Giriş
MuddyWater adlı İranlı siber saldırganların, Microsoft Teams üzerinden sosyal mühendislik kullanarak Chaos fidye yazılımı kılıfı altında siber casusluk faaliyetleri gerçekleştirdikleri tespit edilmiştir. Bu olay, devlet destekli saldırıların ve suç örgütlerinin kullandığı taktiklerin giderek daha fazla iç içe geçtiğini göstermektedir.
Saldırı Nasıl Çalışıyor?
Rapid7 araştırmacılarınca incelenen saldırı, Microsoft Teams platformu aracılığıyla başlamıştır. Saldırganlar, çalışanlarla sohbet başlatarak ve ekran paylaşım oturumları kurarak, aşağıdaki yöntemlerle credential (kimlik bilgileri) çalmayı amaçlamıştır:
- Microsoft Quick Assist’i taklit eden phishing sayfaları kullanma,
- Kurbanları yerel metin dosyalarına parola yazmaya kandırma,
- Çok faktörlü kimlik doğrulama (MFA) ayarlarını manipüle etme,
- AnyDesk gibi uzak erişim yazılımlarını kullanarak sistemlere sızma.
Hesapların ele geçirilmesinin ardından, saldırganlar iç sistemlere oturum açmış ve aşağıdaki araçlarla kalıcılık sağlama çalışmaları yapmıştır:
- RDP,
- DWAgent,
- AnyDesk.
Daha sonra, özel bir backdoor olan Game.exe’yi içeren bir zararlı yazılım yükleyicisi (ms_upd.exe) kullanarak, etkili bir sızma gerçekleştirmişlerdir. Bu zararlı yazılım, anti-analiz ve anti-VM kontrolleri içermekte olup, 12 farklı komutu desteklemektedir.
Etkilenen Sistemler
MuddyWater grubunun hedef aldığı sistemler arasında, aşağıdaki gibi kritik bileşenler bulunmaktadır:
- Domain Controller’lar,
- İç ağ sistemleri,
- Çeşitli uzak erişim noktaları.
Chaos, 2025 yılında ortaya çıkan bir fidye yazılımı olarak bilinmektedir ve genellikle ABD’deki kuruluşlara büyük-boyutlu saldırılar yapmak için kullanılmaktadır.
Çözüm ve Korunma
Kullanıcıların, aşağıdaki önerileri dikkate alarak bu tür siber saldırılara karşı önlem alması önemlidir:
- Sistemlerinizi güncel tutun: Yazılım güncellemelerini düzenli olarak yaparak bilinen güvenlik açıklarını kapatın.
- Phishing saldırılarına karşı dikkatli olun: Beklenmeyen e-postalardan veya mesajlardan gelen bağlantılara tıklamaktan kaçının.
- Çok faktörlü kimlik doğrulama kullanın: MFA uygulaması, hesabınızın güvenliğini artırır.
- Uzaktan erişim araçlarını güvenli bir şekilde yönetin: Kullanmadığınız portları kapatın ve yalnızca güvenilir kaynaklardan yazılımlar kullanın.
Sonuç
MuddyWater gibi gruplara karşı korunmak için, güvenlik yapılandırmalarınızı gözden geçirin, sistemlerinizi güncel tutun ve gerektiğinde port kapatma uygulamalarıyla önlemler alın. Bu tür saldırılara karşı proaktif olmak, güvenliğinizi artıracaktır.
