ESET araştırmacıları, İran bağlantılı siber casusluk grubu MuddyWater'ın (Mango Sandstorm/TA450) yeni bir operasyonunu tespit etti. Grup, özellikle İsrail'deki teknoloji, mühendislik, imalat, yerel yönetim ve eğitim sektörlerini hedef alırken, bir saldırı girişimi de Mısır'da tespit edildi.
Klasik Oyun, Modern Tehdit: Fooder Yükleyicisi
MuddyWater, bu kampanyada savunma atlatma ve kalıcılığı artırmak için daha önce belgelenmemiş özel araçlara başvurdu. En dikkat çeken araç, sistem bilgisi toplama, komut çalıştırma, dosya aktarma ve Windows kimlik bilgilerini sızdırma yeteneğine sahip yeni arka kapı MuddyViper oldu. MuddyViper'ı sisteme yüklemek için ise Fooder adlı yeni bir yükleyici kullanıldı. Birkaç versiyonu bulunan Fooder, görünüşte klasik Snake oyunu gibi çalışıyor.
Gecikme Taktikleri ve Gelişmiş Şifreleme
Fooder yükleyicisinin dikkat çeken bir özelliği, Snake oyununun temel mantığını taklit eden özel gecikme fonksiyonlarıyla 'Sleep' API çağrılarını yoğun şekilde kullanması. Bu gecikme sistemi, kötü amaçlı davranışları otomatik analiz araçlarından gizlemeyi amaçlıyor. Araştırmacılar ayrıca, MuddyWater'ın Windows'un modern kriptografi mimarisi CNG'yi benimseyerek İran bağlantılı gruplar arasında alışılmadık bir teknik adım attığına dikkat çekti.
Hedefli E-Posta Saldırıları ve Sahte Yazılımlar
Kampanyada ilk erişim çoğunlukla PDF eki taşıyan spearphishing (oltalama) e-postaları üzerinden sağlandı. Bu PDF'lerde, OneHub, Egnyte veya Mega gibi platformlarda barındırılan uzak yönetim yazılımlarının yükleyicilerine bağlantılar yer aldı. Bu bağlantılar Atera, Level, PDQ ve SimpleHelp gibi meşru araçların indirilmesine yol açtı. Grubun ayrıca, Veeam, AnyDesk, Xerox ve OneDrive gibi markaların adlarını taklit eden VAX One adlı bir arka kapı kullandığı belirtildi.
Artırılmış Kimlik Bilgisi Hırsızlığı
Saldırı sonrası kullanılan araç setinde birden fazla kimlik bilgisi hırsızı tespit edildi. CE-Notes, Chromium tabanlı tarayıcıları hedeflerken; LP-Notes, çalınan kimlik bilgilerini doğruluyor ve düzenliyor. Blub adlı araç ise Chrome, Edge, Firefox ve Opera'dan oturum açma verilerini çalıyor.
Daha Sessiz ve Stratejik Bir Yaklaşım
ESET'in analizine göre MuddyWater, geçmişte sık yaptığı hatalı komut yazımları ve manuel oturumlar gibi 'gürültülü' davranışlardan kaçınarak daha özenli bir saldırı yaklaşımı benimsedi. Bu durum, grubun teknik olarak evrim geçirdiğini ve daha stratejik hedefleme yaptığını gösteriyor.