Iranlı Hacking Grubu MuddyWater’ın Yeni Siber Casusluk Faaliyetleri
MuddyWater adlı İran merkezli hacking grubu, 2026 yılının ilk çeyreğinde dört kıtada dokuz ülkede en az dokuz organizasyonu hedef alan yeni bir kampanya ile ilişkilendirildi. Bu tür siber faaliyetlerin önemi, kritik altyapılara yönelik tehditlerin artması ve sektörel zararın büyümesi açısından oldukça kritiktir.
Saldırı Nasıl Çalışıyor?
Saldırılar, endüstriyel ve elektronik üretim, eğitim, kamu sektörü, finansal hizmetler ve profesyonel hizmetler gibi çeşitli alanları kapsıyor. Symantec ve Carbon Black’in Tehdit Avcıları tarafından sağlanan verilere göre, MuddyWater, başta büyük bir Güney Koreli elektronik üreticisi olmak üzere, hedeflerinin ağlarında bir hafta boyunca kalmayı başardı. Ayrıca, Orta Doğu’daki uluslararası bir havaalanı ve Güneydoğu Asya’daki endüstriyel üreticileri gibi kuruluşlar da bu büyük casusluk çabasının bir parçası olarak öne çıkıyor.
Saldırganlar, meşru imzalı Fortemedia (fmapp.exe) ve SentinelOne (sentinelmemoryscanner.exe) dosyalarını kullanarak DLL yan yükleme (side-loading) tekniklerine başvurmuşlardır. Bu yöntemle, kötü amaçlı DLL’ler masum yazılımlar gibi davranarak çalıştırılmaktadır. fmapp.exe kullanılarak yan yüklenen fmapp.dll dosyası daha önce Group-IB tarafından diğer bir MuddyWater kampanyasıyla bağlantılı olarak belgelenmişti. Bu DLL, saldırganların kontrolündeki bir IP adresine (“157.20.182[.]49”) bağlanmak için kullanılan bir kod içermektedir.
Etkilenen Sistemler
Saldırıların hedefleri arasında şu organizasyonlar bulunmaktadır:
- Büyük Güney Koreli elektronik üreticisi
- Orta Doğu’daki bir uluslararası havaalanı
- Güneydoğu Asya’daki endüstriyel üreticiler
- Latin Amerika’daki bir finansal hizmet sağlayıcısı
Ayrıca, sentinelmemoryscanner.exe dosyasının kötüye kullanımı, imza tabanlı tespitleri aşma amacı taşıdığı değerlendirilmektedir. Bu dosya, kötü niyetli bir DLL olan sentinelagentcore.dll‘yi yan yüklemek için tasarlanmıştır. Her iki DLL, ChromElevator adlı bir açık kaynaklı aracı içermekte olup, bu sayede Chromium tabanlı tarayıcılardan şifre, çerez ve ödeme kartı verilerini çalmakta, App-Bound Encryption (ABE) korumalarını aşmaktadır.
Çözüm ve Korunma
Saldırılar, Node.js betiklerini kullanarak PowerShell kodu çalıştıran, araştırma ve bilgi toplama işlemleri gerçekleştirenbir yapıya sahiptir. Bu bağlamda, 데이터는 kurban çevresindeki kurulumda RAR arşivleri olarak sıkıştırılmakta ve kurbanın kamu web sitesi üzerinden yüklenmektedir. Bu tür saldırılara karşı alınması gereken önlemler:
- Güncellemeleri düzenli olarak yapın: Yazılım ve güvenlik araçlarınızı güncel tutmak, bu tür saldırılara karşı en etkili korunma yoludur.
- Güvenlik Duvarı Ayarlarını Kontrol Edin: Ağ geçitlerinizde gerekli portları kapatarak dış erişimi sınırlayın.
- Saldırı Tespit Sistemlerini (IDS) Kullanın: Olası tehditleri hızlıca tespit etmek için etkili bir izleme sistemi kullanmak önem arz etmektedir.
Sonuç olarak, kullanımda olan sistemlerin güvenlik açıklarını kapamanız ve sürekli güncellemelerle sisteminizi güçlendirmeniz hayati öneme sahiptir. MuddyWater gibi grupların tehditlerine karşı dikkatli olunmalı ve gerektiğinde profesyonel yardım alınmalıdır.
