Birleşik Krallık ve ABD’den siber güvenlik ajansları, İran hükümeti tarafından desteklenen gelişmiş kalıcı tehdit (APT) grubu tarafından dünya çapındaki hükümet ve ticari ağları hedef alan saldırılarda kullanılan yeni bir kötü amaçlı yazılımı ortaya çıkardı.
Ajanslar, “MuddyWater aktörleri, hem çalınan verileri hem de İran hükümetine erişim sağlamak ve bunları diğer kötü niyetli siber aktörlerle paylaşmak için konumlandırıldı.” dedim.
Ortak tavsiye, Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ABD Siber Komutanlığı Siber Ulusal Görev Gücü (CNMF) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından sağlanır.
Siber casusluk aktörünün bu yıl İran İstihbarat ve Güvenlik Bakanlığı’nın (MOIS) bir parçası olarak telekomünikasyon, savunma, yerel yönetim ve petrol ve doğal gaz sektörleri de dahil olmak üzere çok çeşitli hükümet ve özel sektör kuruluşlarını hedef alan kötü niyetli operasyonlar yürüttüğü ortaya çıktı. Asya, Afrika, Avrupa ve Kuzey Amerika’da.
MuddyWater ayrıca daha geniş siber güvenlik topluluğu tarafından Earth Vetala, MERCURY, Static Kitten, Seedworm ve TEMP.Zagros adları altında izlenir ve grup, kabaca 2018’den beri MOIS hedeflerini destekleyen siber saldırılarla tanınır.
Kamuya açık olarak bildirilen güvenlik açıklarından yararlanmanın yanı sıra, grubun hassas verilere erişmek, fidye yazılımı dağıtmak ve kurban ağlarında kalıcılık sağlamak için açık kaynaklı araçlar kullandığı tarihsel olarak gözlemlenmiştir.
Cisco Talos tarafından geçen ayın sonlarında yapılan bir takip araştırması, PowerShell tabanlı bir arka kapı dağıtma amacıyla Türk özel kuruluşlarına ve devlet kurumlarına yönelik daha önce belgelenmemiş bir kötü amaçlı yazılım kampanyasını da ortaya çıkardı.
İstihbarat yetkilileri tarafından maskelenen yeni faaliyetler, komuta ve kontrol (C2) işlevleri de dahil olmak üzere saldırıların en zarar verici kısımlarını gizlemek için gizlenmiş PowerShell komut dosyalarını kullanmaları bakımından farklı değildir.
İzinsiz girişler, aktörün C2 sunucusuyla iletişim kuran kötü amaçlı bir makroya sahip bir Excel dosyası veya virüs bulaşmış kişiye kötü amaçlı bir yük bırakan bir PDF dosyası içeren şüpheli ZIP arşivlerini indirmeye yönelik hedeflerini ikna etmeye çalışan bir hedef odaklı kimlik avı kampanyası aracılığıyla kolaylaştırılır. sistem.
FBI, CISA, CNMF ve NCSC, “Ek olarak, grup kötü amaçlı yazılım yüklemek, arka kapı erişimi, kalıcılık ve sızma için PowGoop, Small Sieve, Canopy/Starwhale, Mori ve POWERSTATS dahil olmak üzere birden çok kötü amaçlı yazılım seti kullanıyor” dedi.
PowGoop, ikinci aşama PowerShell betiklerini indirmekten sorumlu bir yükleyici olarak işlev görürken, Small Sieve, algılamadan kaçınmak için C2 iletişimleri için Telegram API’sinden yararlanarak ağda tutunmayı sürdürmek için kullanılan Python tabanlı bir implant olarak tanımlanır.
Kötü amaçlı yazılımın diğer önemli parçaları, sistem meta verilerini toplamak ve rakip kontrollü bir IP adresine iletmek için kullanılan bir Windows Komut Dosyası (.WSF) olan Canopy ve C2’den alınan komutları çalıştırmak ve korumak için kullanılan Mori ve POWERSTATS adlı iki arka kapıdır. kalıcı erişim
Bunun da ötesinde, MuddyWater kurban bilgisayarlar hakkındaki bilgileri sıralamak için bir anket komut dosyası kullanmış ve daha sonra uzak C2 sunucusuna geri gönderilmiştir. Ayrıca, saldırgandan alınan komutları yürütmek için kullanılan yeni tanımlanmış bir PowerShell arka kapısı da dağıtılır.
Ajanslar, olası saldırılara engel teşkil etmek için kuruluşlara mümkün olan her yerde çok faktörlü kimlik doğrulamayı kullanmalarını, yönetici ayrıcalıklarının kullanımını sınırlandırmalarını, kimlik avı korumaları uygulamalarını ve istismar edilen bilinen güvenlik açıklarını yamalamaya öncelik vermelerini tavsiye ediyor.
