İran destekli çamurlu su hacking grubu, özel Türk örgütlerini ve devlet kurumlarını hedef alan yeni bir kötü amaçlı kampanya yürütüyor.
Bu siber-casusluk grubu (AKA cıva, tohum suları ve temp.zagros) bu ay İran'ın İstihbarat Bakanlığı ve Güvenlik Bakanlığı (MOIS) ABD Cyber Commandes (USCYBERCOM) tarafından bağlandı.
Hacking Grubu, Orta ve Güneybatı Asya'daki varlıklara ve Avrupa, Asya'dan ve Kuzey Amerika'daki telekomünikasyon, hükümet (BT hizmetleri), petrol ve havayolu endüstrisi sektörlerinde sayısız kamu ve özel kuruluşa karşı saldırılara atfedilmiştir.
Saldırılar yaparken, tehdit aktörleri, POWERShell tabanlı indirmeleri dağıtmak ve hedeflenen ağlara ilk erişim kazandırmak için PDFS, XLS dosyaları ve Windows çalıştırılabilirleri gibi çeşitli dosya türlerini kullanır.
Cisco Talos'taki araştırmacılar tarafından yeni bir rapor, Muddywater'ı, Türk özel kuruluşlarını ve devlet kurumlarını hedef alan son saldırılara bağladı.
Saldırılar, Türk dil isimleri ile dosyaları kullanan ve ülkenin sağlık veya İçişleri Bakanlığından gelen gibi davranan mızrak kullanıcısıyla başlar.
Saldırının bir parçası olarak, çamurlu su tehdidi aktörleri, bir PDF dosyası teslim edilmesiyle başlayan iki enfeksiyon zinciri kullanır. İlk durumda, PDF, tıklattıktan sonra bir XLS dosyasını getiren gömülü bir düğmeye sahiptir.
Bu dosyalar, enfeksiyon işlemini başlatan ve yeni bir kayıt defteri anahtarı oluşturarak kalıcılığı kuran kötü amaçlı VBA makrolarını taşıyan tipik XLS belgeleridir.
Aynı aşamada, bir VBScript, bir PowerShell Downloader ile birlikte alınır ve algılama, birincil yükünü C2'den alınan birincil yükünü alınması için "arazi dışında yaşamak" ile yürütülür.
İkinci enfeksiyon zinciri, XL'ler yerine EXE dosyası kullanır, ancak yine de PowerShell Downloader'ı, ara VBScript'i kullanır ve kalıcılık için yeni bir kayıt defteri girdisi ekler.
Bu kampanyada yaşlılara kıyasla bu kampanyadaki önemli bir fark, Kanarya Jetonlarının kod çalışmalarını ve komşu sistemlerde daha sonraki enfeksiyonları izlemektir.
Belirteç, kötü niyetli ekin içinde veya e-postanın kendi içinde gizler ve mağdurun cazrayı açtığında ve makroyu çalıştırdığında tehdit aktörlerini uyarır.
Cisco Talos Raporu "Kötü amaçlı VBA makroları, kötü niyetli VBS ve PS1 komut dosyalarını oluşturmak için aynı fonksiyonellik kümesinden oluşuyordu ve REBOT'lar arasında kalıcılık elde edildi" dedi.
"Ancak, şimdi makro işlevselliğine ilginç bir ilginç eklenmedi. Dağıtılan VBA kodunun en son sürümleri, HTTP isteklerini CanaryTokens.com'dan bir kanarya belirteci yapabilir."
Bu belirteçler ayrıca anten anti-analiz araçları olarak da kullanılabilir, aktörlere zaman damgaları sağlayan ve araştırma / analiz kaynaklı tutarsızlıkları belirlemeyi kolaylaştırır.
Son olarak, eğer belirteç istekleri gönderirse ancak yükün alınmazsa, yük yükü sunucusunun bloke edildiğine, aktörlere durum hakkında değerli bilgiler vermesi ve alternatif teslimat yöntemlerini aramalarını sağlamak bir göstergedir.
Araştırmacılar bu saldırıları gözlenen teknik göstergelere, taktikleri, prosedürlere ve C2 altyapısına dayanarak çamurlu su grubuna atfeder.
Özellikle, Türk makamları bu kampanyada kullanılan C2 IP adreslerinin bir kısmını önceki saldırılardan belirledi ve resmi tehdit danışmanlarında listelenmiştir.
Cisco, İranlı aktörler için kod ve meta veri benzerlikleri ve istihbarat paylaşım hassasiyetlerinden dolayı yayınlamadıkları diğer göstergeler biçimindeki ilave kanıtlara sahiptir.
ABD Muddywater Hacking Grubunu İran İstihbarat Ajansına Bağladı
Telekom operatörleri son casusluk hack kampanyasını hedef aldı
NCSC Uyarıları İngiltere Orgs Yıkıcı Rus Cyberattacks için Brace için
Nobel Vakfı Sitesi DDOS Ödülü Saldırısı'nda Vurdu
Hacker'lar, Belarusya Demiryolu Sunucusunu Protesto'da şifrelenmişlerdir.
Kaynak: Bleeping Computer