Giriş
MuddyWater olarak bilinen İran bağlantılı siber saldırı grubu, birçok sektörde ve ülkede en az dokuz yüksek profilli kurumu hedef alan geniş bir siber casusluk kampanyası başlattı. Bu saldırıların önemli sonuçları, endüstriyel ve entelektüel mülkiyet hırsızlığı ile devlet casusluğunun artmasıdır.
Saldırı Nasıl Çalışıyor?
Saldırı, genellikle güvenilir yazılımların zararlı DLL’leri yüklediği bilinen bir teknik olan DLL sideloading ile gerçekleştirildi. Kullanılan iki meşru ikili dosya:
- fmapp.exe: Meşru bir Fortemedia ses aracıdır.
- sentinelmemoryscanner.exe: Meşru bir SentinelOne bileşenidir.
Zararlı DLL’ler (fmapp.dll ve sentinelagentcore.dll) ayrıca ChromElevator adı verilen bir araç içeriyordu. Bu araç, Chrome tabanlı tarayıcılarda depolanan verileri çalar.
Saldırıda daha önce Seedworm saldırılarında kullanılan PowerShell, hala aktif olarak kullanıldı; fakat yükler doğrudan yerine Node.js yükleyicileri aracılığıyla kontrol edildi. PowerShell, aşağıdaki işlemler için kullanıldı:
- Screenshot alma
- Keşif yapma
- Ek yükleri indirme
- Persistans sağlama
- Kredileri çalma
- SOCKS5 tünelleri oluşturma
Etkilenen Sistemler
Saldırı, Şubat 2026’da Güney Kore’deki bir elektronik üreticisine yapıldı ve 20 ile 27 Şubat tarihleri arasında sürdü. Saldırı sırasında, aşağıdaki aşamalar gerçekleştirildi:
- Host ve domain keşfi
- Antivirüs sorgulaması (WMI ile)
- Screenshot alma
- Ek kötü amaçlı yazılımların indirilmesi
Kredilerin çalınması, sahte Windows istemleri, kayıt defteri içeriğinden (SAM/SECURITY/SYSTEM) veri çalma ve Kerberos bileti istismar araçlarıyla gerçekleştirildi. Persistans, kayıt defteri değişiklikleri ile sağlandı ve beyanlar 90 saniyelik aralıklarla yapıldı.
Çözüm ve Korunma
Sonuç olarak, son MuddyWater kampanyası, tehdit aktörlerinin coğrafi açıdan genişlemesi ve meşru araçları kötüye kullanmaları açısından dikkat çekicidir. Şunları yaparak korunabilirsiniz:
- Güvenlik yazılımlarını güncelleyin, özellikle antivirüs ve güvenlik duvarı yazılımlarınızı.
- Gereksiz portları kapatın ve yalnızca gerekli olanları açık tutun.
- Farklı hesaplar için benzersiz ve güçlü şifreler oluşturun ve düzenli olarak değiştirin.
Okuyucuların, bilgisayar güvenliğini sağlamaları için yukarıdaki önlemleri almaları ve sistem güncellemelerini düzenli olarak kontrol etmeleri önemlidir.
