Etiket arşivi: APT

Dijital Güvenlik

Hackerlar, medya mensuplarına saldırmak için gazeteci kılığına giriyor

Yorum yapın

Hackerlar, medya mensuplarına saldırmak için gazeteci kılığına giriyorÇin, Kuzey Kore, İran ve Türkiye’den APT gruplarının faaliyetlerini izleyen araştırmacılar, gazetecilerin ve medya kuruluşlarının devlet destekli aktörler için sürekli bir hedef olmaya devam ettiğini söylüyor.

Gelişmiş kalıcı tehdit adı verilen APT grupları sürekli, gizli ve gelişmiş hackerlık tekniklerini kullanarak bir sisteme erişip burada, yıkıcı sonuçlar yaratmaya yetecek kadar uzun bir süre kalıyor.

Tehdit aktörleri, siber casusluk operasyonunu genişletmeye yardımcı olabilecek kamuya açık olmayan bilgilere erişebildikleri için bu hedeflere saldırabiliyorlar.

EN YENİ TAKTİKLER

2021-2022 arası dönemde bu faaliyetleri takip eden Proofpoint analistleri gazeteci gibi davranan veya doğrudan gazetecileri hedef alan birkaç APT grubu hakkında bir rapor yayınladılar. ‘Zirconium’ (TA412) olarak bilinen Çin bağlantılı tehdit aktörünün, mesajlara erişildiğinde uyarı veren izleyiciler içeren e-postalarla 2021’in başından bu yana Amerikalı gazetecileri hedef aldığı doğrulandı.

Bu basit taktik aynı zamanda tehdit aktörünün kurbanın konumu ve internet servis sağlayıcısı (ISS) gibi daha fazla bilgi toplayabileceği hedefin genel IP adresini elde etmesine de izin verdi. Şubat 2022’ye kadar Zirkonyum, gazetecileri hedef alan kampanyalara aynı taktiklerle devam etti ve temelde Rusya-Ukrayna savaşı hakkında yayın yapan gazetecilere odaklandı.

Türk gazeteciyi de hedef alan hacker çetesinin sahte delil yöntemleri ortaya çıktı

Nisan 2022’de Proofpoint, TA459 olarak izlenen bir başka Çinli APT grubunun, açıldığında Chinoxy kötü amaçlı yazılımının bir kopyasını bırakan RTF dosyalarıyla muhabirleri hedeflediğini gözlemledi. Bu grup Afganistan’daki dış politika konularına odaklanan medya mensuplarını hedef aldı.

TÜRK HACKER GRUPLARI GAZETECİLERİN SOSYAL MEDYA HESAPLARINI ÇALIYOR

TA404 grubuna bağlı Kuzey Koreli bilgisayar korsanlarının da 2022 baharında sahte iş ilanlarını yem olarak kullanmak suretiyle medya çalışanlarını hedef aldıkları tespit edildi. TA482 adıyla bilinen Türk tehdit aktörleri de gazetecilerin sosyal medya hesaplarını çalmaya odaklı “kimlik avı” kampanyaları düzenledi. 

Öte yandan, hackerların hepsi gazeteci hesaplarına erişme amacı gütmüyor.  Bunun yerine, bazıları işin kolayına kaçıp doğrudan hedeflerine ulaşmak için muhabir gibi davranmaya yöneliyor. Proofpoint bu taktiğin özellikle TA453 (nam-ı diğer Charming Kitten) gibi akademisyenlere ve Orta Doğu uzmanlarına muhabir kılığında e-posta gönderen İranlı aktörler tarafından uygulandığını tespit etti.

Başka bir örnek de, e-postalarını Guardian veya Fox news’den gelen haber bültenleri gibi gösteren ve hedefe kötü amaçlı yazılım yerleştirmek isteyen TA456 (Tortoiseshell).

Son olarak Proofpoint, Eylül 2021 ile Mart 2022 arasında iki ila üç haftada bir medya mensuplarını hedef alan kampanyalar başlatan İranlı hacker grubu TA457’nin faaliyetlerine dikkat çekiyor.

APT’lerin kimlik avı hileleri, kötü amaçlı yazılım yerleştirme ve çeşitli sosyal mühendislik taktiklerini kullanarak gazetecileri hedeflemeye devam etmesi bekleniyor.

Uluslararası İlişkiler

ABD’deki doğal gaz patlamasının arkasında Rusya mı var?

Yorum yapın

ABD’nin Teksas eyaletindeki sıvılaştırılmış doğal gaz tesisinde 8 Haziran’da meydana gelen patlamanın arkasında Rusya destekli tehdit aktörlerinin olduğu iddia edildi.

Tesiste meydana gelen patlamanın, bir Rus hacker grubunun gerçekleştirdiği iddia edilen bir siber saldırı kaynaklı olduğu düşünülüyor. 

Patlama, Teksas’ın Quintana Adası’ndaki Freeport Sıvılaştırılmış Doğal Gaz (Freeport LNG) tesisi ve ihracat terminalinde meydana geldi. 8 Haziran’daki olayın Freeport LNG’nin operasyonları üzerinde kalıcı bir etkisi olacağı tahmin ediliyor.

Ön incelemeler, olayın LNG transfer hattının bir bölümünün aşırı basınç ve kopmasından kaynaklandığını ve LNG’nin hızla yanıp sönmesine ve doğal gaz buhar bulutunun açığa çıkmasına ve tutuşmasına yol açtığını gösteriyor.

“SİBER SALDIRI GÜVENLİK KONTROLLERİNİ DEVRE DIŞI BIRAKTI” İDDİASI

Mevcut güvenlik mekanizmalarının patlamayı neden engellemediği konusu henüz netlik kazanmış değil.  Uzmanlar, bir siber saldırının doğal gaz tesisindeki endüstriyel güvenlik kontrollerini kapatmış olabileceğini öne sürüyor. Uzmanların Rusya bağlantılı APT grubu XENOTIME ile bağlantılı olduğunu düşündüğü TRITON gibi kötü amaçlı ICS yazılımları, endüstriyel güvenlik kontrollerini kapatmak ve endüstriyel tesislere büyük zararlar verme noktasında saldırgan yeteneklere sahip bir yazılım. 

Colonial Pipeline saldırısı hakkında bilmeniz gereken 5 şey

24 Mart’ta ABD Adalet Bakanlığı, 2012 ve 2018 yılları arasında Rus hükümeti adına siber saldırılarda TRITON kötü amaçlı yazılımını kullandığından şüphelenilen dört Rus vatandaşına karşı suç duyurusunda bulunmuştu. Amerikan Askeri Haber sitesi aynı gün FBI’ın TRITON kötü amaçlı yazılım araçlarının hala dünyadaki endüstriyel sistemler için büyük bir tehdit olmaya devam ettiği konusunda bir uyarıda bulunduğunu bildirmişti.

XENOTIME APT GRUBU SALDIRMIŞ OLABİLİR

Washington Times ulusal güvenlik yazarı Tom Rogan, Freeport LNG tesisindeki patlamanın XENOTIME gibi APT grupları tarafından yürütülen bir bilgisayar korsanlığı kampanyasıyla ilişkili olabileceğini doğruladı. Rogan, şirketin Operasyonel Teknoloji / Endüstriyel Kontrol Sistemleri ağ algılama sistemlerine sahip olduğunu da sözlerine ekledi.

Rogan, “Freeport LNG’nin Operasyonel Teknoloji / ICS ağ algılama sistemleri uygun şekilde dağıtmadığı ve bir adli bilişim soruşturması yürütmediği sürece, bir siber saldırı göz ardı edilemez.” ifadelerini kullandı. Öte yandan Freeport LNG, olayın arkasında esasa olarak siber saldırı olduğu yönündeki iddiaları reddetti. 

Amerikan Askeri Haber sitesi şunu da ekledi: “Rogan ile konuşan iki kaynak daha, Rusya’nın Ukrayna’yı işgaline başladığı sırada, Rusya’nın GRU askeri istihbarat servisinin bir siber biriminin Freeport LNG’ye karşı keşif ve hedefleme operasyonları yürüttüğünü söyledi.” 

İsrail

‘Sakallı Barbielerin’ hedefinde İsrailli yetkililer var

Yorum yapın

‘APT-C-23’ adı ile aranan Hamas destekli bir hacker grubu, savunma, kolluk kuvvetleri ve devlet kurumlarında çalışan İsrailli yetkilileri ağına düşürmeye çalışırken yakalandı.

Saldırı, casus yazılım yerleştirmeden önce hedeflerle uzun vadeli etkileşim kurma ve sahte sosyal medya profilleri oluşturma gibi üst düzey sosyal mühendislik hilelerini içeriyor.

Bu yeni operasyona Bearded Barbie Campaign (Sakallı Barbie Operasyonu) adını veren Cybereason’daki analistlere göre, APT-C-23 ayrıca Windows ve Android cihazlar için yeni özel arka kapılar da dağıtıyor.

Tehdit aktörleri, sahte kimlikler ve çekici kadınların çalınan veya yapay zeka tarafından oluşturulan görüntülerini kullanarak birkaç sahte Facebook profili oluşturdu ve bu profiller aracılığıyla hedeflere yaklaştı. Bu profillerin gerçekmiş gibi görünmelerini sağlamak için operatörler bu profiller üzerinde aylarca çalıştılar, İbranice paylaşımlar yaptılar ve İsrail’deki grupları ve popüler sayfaları beğendiler.

SAMİMİYET OLUŞTUKTAN SONRA SOHBETİ WHATSAPP’A TAŞIMAYI TEKLİF EDİYORLAR

Bu profilleri oluşturanlar, gerçekte İsrail polisinde, savunma kuvvetlerinde, acil servislerde veya hükümette çalışan insanları hedef alan kapsamlı bir arkadaşlık ağı kurmuş oluyor. Bir süre onlarla etkileşime girerek hedefin güvenini kazandıktan sonra, rakipler sohbeti daha iyi gizlilik sağladığı için WhatsApp’a taşımayı öneriyorlar. Sohbet daha da müstehcen bir boyuta taşındığında ise tehdit aktörleri sözde daha da fazla gizlilik sağladığı gerekçesiyle Android IM uygulamasına geçiş yapıyorlar. Bu da VolatileVenom kötü amaçlı yazılımdan başkası değil. 

Eş zamanlı olarak, bu sahte profil oluşturucuları, cinsel bir video içerdiği iddia edilen, ancak gerçekte BarbWire arka kapısı için bir indirici olan bir RAR dosyasına bir bağlantı gönderme yolunu seçtiler.

Filistinli hackerların hedefinde Türkiye de var

Başta VolatileVenom olmak üzere, sözkonusu Android kötü amaçlı yazılımı kendisini bir mesajlaşma uygulaması olarak gizliyor.

ARKA KAPI NİSAN 2020’DEN BERİ KULLANILIYOR 

Cybereason, bu arka kapının en azından Nisan 2020’den bu yana APT-C-23 tarafından kullanıldığını, ancak o zamandan beri ek özelliklerle zenginleştirildiğini açıklıyor.

Ürünün ilk kez çalıştırılması ve kaydolma işlemi sırasında, uygulama sahte bir hata görüntülüyor ve kendisini cihazdan otomatik olarak kaldıracağını bildiriyor. Gerçekte ise, aşağıdaki işlevleri yerine getirerek arka planda çalışmaya devam ediyor:

  • SMS mesajlarını çalma 
  • Kişi listesi bilgilerini okuma
  • Fotoğraf çekmek için cihazın kamerasını kullanma
  • pdf, doc, dokümanlar, ppt, pptx, xls, xlsx, txt, text uzantılı dosyaları çalma
  • jpg, jpeg, png uzantılı görüntüleri çalma
  • Ses kaydı alma
  • Facebook ve Twitter gibi popüler uygulamalar için gerekli kimlik bilgilerini çalmak için Kimlik Avı özelliğini kullanma
  • Sistem bildirimlerini devre dışı bırakma
  • Yüklü uygulamaları alma
  • Wi-Fi’yi Yeniden Başlatma
  • Aramaları / WhatsApp aramalarını kaydetme 
  • Arama günlüklerini ayıklama
  • Virüslü cihaza dosya indirme 
  • Ekran görüntüsü alma
  • WhatsApp, WhatsApp, Facebook, Telegram, Instagram, Skype, IMO, Viber uygulamalarındaki bildirimleri okuma
  • Sistem tarafından oluşturulan bildirimleri devre dışı bırakma

Kurbanın cihazı Android 10 veya daha üstündeki sürümleri çalıştırıyorsa, uygulama Google Play, Chrome veya Google Haritalara ait bir simge kullanıyor. Android’in önceki sürümlerinde ise, uygulama simgesini tamamen gizliyor.

BARB(IE) VE BARBWIRE KÖTÜ AMAÇLI YAZILIMLARI

Catfish girişimlerinin bir parçası olarak, tehdit aktörleri sonunda hedefe çıplak fotoğraflar veya videolar olduğu iddia edilen bir RAR dosyası göndermekte. Ancak, bu RAR dosyası, BarbWire arka kapısının yüklenmesine neden olan Barb (ie) downloader kötü amaçlı yazılımını içeriyor.

Cybereason tarafından görülen bir Barb (ie) örneği “Windows Bildirimleri” dosya adına sahip ve başlatıldığında bir takım anti analiz denetimleri gerçekleştirmekte.

Ardından, Barb(ie) komut ve denetim sunucularına (C2) bağlanıyor ve bir sistem kimliği profili gönderirken, iki zamanlanmış görev oluşturarak süreklilik tesis ediyor. Son olarak, cihaza BarbWire arka kapısını indiriyor ve yüklüyor.

BarbWire, aşağıdakiler gibi kapsamlı yeteneklere sahip tam teşekküllü bir arka kapı olarak değerlendiriliyor:

  • Süreklilik
  • İşletim sistemi keşfi (kullanıcı adı, mimari, Windows sürümü, yüklü AV ürünleri)
  • Veri şifreleme
  • Keylogging (başka bir bilgisayarda basılan tuşları gizlice kaydetme işlemi)
  • Ekran görüntüsü yakalama
  • Ses kaydı
  • Ek kötü amaçlı yazılım indirme
  • Yerel / harici sürücüler ve dizin numaralandırma
  • Belirli dosya türlerini çalma ve verileri RAR formunda filtreleme

Cybereason, APT-C-23 grubunun aktif gelişimini gösterdiği en az üç farklı BarbWire varyantını örnekleyebildi.

APT-C-23, geçmişte İsrail hedeflerine yönelik birçok operasyonda kullanıldığını gördüğümüz birçok tekniği kullanıyor ancak yeni araçlar ve daha karmaşık sosyal mühendislik çabalarıyla gelişmeye devam ediyor.

Bearded Barbie Operasyonu ile önceki kampanyalar arasındaki farklılıklardan biri, grubun tespit edilmekten kaçınma konusundaki ilgisini ortaya koyan bir altyapının olmaması.

Biri Windows için diğeri Android için olmak üzere iki arka kapının kullanılması, tehdit aktörü için gerilimi daha da artıırmakta ve tehlikeye atılan hedefler için çok agresif casuslukla sonuçlanmakta.

Türkiye

SOCRadar: Dark Web’de Türkçe konuşulan grupların sayısı artıyor

Yorum yapın

Dünya üzerinde ve Türkiye’de giderek artan sofistike siber tehdit aktörlerinin varlığı, bu aktörlerin gelişmiş saldırıları ve kurbanlarının sayısının giderek artışı, siber güvenlik uzmanlarının da söz konusu tehdit ortamını daha iyi incelemelerine ve karar yürütme süreçlerine doğrudan etki ediyor.

Geçtiğimiz günlerde siber güvenlik şirketi SOCRadar’ın yayımladığı rapor tam da bu noktanın altını çiziyor. Söz konusu rapordaki bilgiler, kurumsal çapta güvenlik programlarının planlanmasına, yatırım kararları alınmasına ve siber güvenlik gereksinimlerinin tanımlanmasına yardımcı oluyor.

Açık tehdit paylaşım platformlarından topladığı kapsamlı verileri derinlemesine analiz ederek ortaya koyan SOCRadar, söz konusu tehdit ortamını, “yakın zamanda gözlemlenen tehdit aktörü faaliyetleri, kötü amaçlı yazılım kampanyaları, yeni kritik güvenlik açıkları, açıklardan yararlanma” temelinde inceliyor.

DARK WEB TEHDİTLERİ YÜKSELİŞTE

Çeşitli bilgisayar korsanlığı araçları, dolandırıcılık yöntemleri ve satın alınabilecek çalıntı veri tabanları ile dark web, siber saldırıları başlatmak için bir sıçrama tahtası gibi işlev görüyor. Dark webde doğan siber tehditler, Türkiye’deki kuruluşları giderek daha fazla etkiliyor.

SOCRadar’ın DarkMirror Intelligence hizmetinden toplanan verilere göre, Türk varlıklarını hedef alan 150’den fazla 30 tehdit aktörü listesi mevcut. Gönderilerin yüzde 22’si müşteri veritabanı satışları ve yüzde 9’u yetkisiz ağ erişimi satışlarından oluşuyor. Tehdit aktörleri tarafından listelenen bu gönderiler, finans, telekomünikasyon ve eğitim dâhil olmak üzere çeşitli sektörlerden farklı kuruluşları etkiliyor.

2021’DE FİDYE YAZILIM TEHDİTLERİ ARTTI

2021 yılında manşetlerde kendisine sık sık yer bulan fidye yazılımı saldırıları, Türkiye’de hizmet gösteren birçok küresel firmaya saldırarak bu işletmelerin sekteye uğramasına neden oldu. Türkiye’deki fidye yazılımı saldırılarının arkasındaki ilk 10 fidye yazılımı grubunun son üç yıldaki hasılatıysa yaklaşık 5,2 milyar dolar oldu.

Geçen yılın son üç ayında fidye yazılımı saldırılarındaki artış hızlandı. Endişe verici bir şekilde, Türkiye’yi hedefleyen fidye yazılımı gruplarının faaliyetleri Haziran’dan Aralık 2021’e üç kattan fazla arttı. SOCRadar DarkMirror’da yer alan verilere göre “İmalat ve Finans” en çok hedeflenen sektörler arasında yer aldı.

2021’in öne çıkan fidye yazılım saldırıları

Türkiye’yi hedef alan en büyük fidye yazılım grupları arasında LockBit, Conti ve Xing bulunuyor.

APT GRUPLARI TÜRKİYE’Yİ HEDEF ALIYOR

Türkiye’den firmalar, çeşitli amaçlarla hareket eden yetenekli APT gruplarının hedefi olmaya devam ediyor. APT grupları, finansal avantaj elde edebilecek, stratejik süreçlere erişebilecek veya stratejik istihbarat toplayabilecek çok miktarda değerli bilgi ve varlığı ele geçirebileceği kuruluşları sıklıkla hedef alıyor.

Coğrafi konumu nedeniyle Türkiye, Rusya-Ukrayna gerilimi gibi jeopolitik etki kazanmak isteyen bazı ulus-devlet aktörlerinin hedefine girebiliyor. Örneğin 2021 boyunca, ChamelGang gibi yeni APT gruplarının da Türkiye ve komşu ülkelerde güçlerini artırdığı gözlemlenirken, “enerji, kritik kamu altyapıları ve finans” çekici görülen ilk üç sektör arasına giriyor.

Türkçe deep web forumlarında faaliyet gösteren önemli APT grupları arasında APT28, APT29, APT39, APT41 bulunuyor.

TÜRKİYE’DEKİ OLTALAMA TEHDİTLERİ

Tehdit aktörleri, Türkiye’de yeni doğan ve hızla büyüyen çevrimiçi yemek siparişi, e-ticaret ve yeni nesil bankacılık uygulamalarının sağladığı yüksek mobil erişime çabuk adapte olmuş görünüyorlar. Söz konusu şirketlere kayıtlı kullanıcıların hassas bilgilerini çalmak ve dâhili sistemlere ilk erişim sağlamak için bu şirketleri taklit eden yüzlerce oltalama domaini günlük olarak kaydedildi.

SOCRadar, son 12 ayda milyonlarca tüketiciyi hedefleyen toplam 42 bin 136 kimlik avı saldırısı tespit etti. Oltalama saldırılarının en çok hedef aldığı sektörse “Fintech” oldu.

SOCRadar’IN ELDE ETTİĞİ ÖNEMLİ BULGULAR

  • Türk varlıklarını hedef alan 30 tehdit aktörünün 150’den fazla listesi var. Gönderilerin yüzde 22’si müşteri veritabanı satışları ve yüzde 9’u yetkisiz ağ erişimi satışlarından oluşuyor. 
  • E-ticaret, bankacılık ve sigortacılık en çok etkilenen sektörler arasında. 
  • Suç faaliyetlerinin arkasında olduğuna inanılan ilk 10 fidye yazılımı grubu, son üç yılda yaklaşık 5,2 milyar dolar değerinde Bitcoin elde etti. Türkiye’yi hedefleyen en büyük fidye yazılımı grupları LockBit, Conti ve Xing. 
  • Coğrafi konumu nedeniyle Türkiye, Rusya-Ukrayna gerilimi gibi jeopolitik konularda etki kazanmak isteyen APT aktörlerinin hedefinde. Türkiye’de faaliyet gösteren önemli APT grupları arasında APT28, APT29, APT39 ve APT41 sayılabilir. 
  • SOCRadar, son 12 ayda milyonlarca tüketiciyi hedef alan toplam 42 bin 136 oltalama (phishing) saldırısı tespit etti. 
  • En yaygın olarak yararlanılan güvenlik açıkları CVE-2021-31206, CVE-2021- 21985, CVE-2020-5902 ve CVE-2021-3064 oldu. 
  • Türkiye ~31Tbit/sn DDoS trafiği üretebiliyor ve bu oranla dünya genelinde 27. sırada yer alıyor.
Türkiye

İran destekli hacker grubu MuddyWater, Türkiye’yi hedef aldı!

Yorum yapın

İran İstihbarat ve Güvenlik Bakanlığı’nın desteklediği iddia edilen APT grubu MuddyWater, Türkiye’yi hedef aldı.Grup daha önce de Türkiye’deki  askeri kurumları, kamu kuruluşlarını, telekom şirketlerini ve eğitim kurumlarına saldırmıştı.

Geçtiğimiz yılın kasım ayında tespit edilen MuddyWater’ın yönettiği saldırılar TÜBİTAK başta olmak üzere Türkiye’den çeşitli kamu kurumlarını ve özel şirketleri hedefledi.

Cisco Talos tehdit istihbaratı araştırma ekibi tarafından tespit edilen MuddyWater’ın Türkiye’ye yönelik saldırıları nasıl gerçekleştirdiği rapor hâlinde yayımlandı.

MuddyWater, genellikle kurbanlarına Sağlık Bakanlığı veya İçişleri Bakanlığı’ndan geliyormuş gibi görünen ve gömülü zararlı bağlantılar içeren PDF belgesi biçimindeki dosyaları e-posta hâlinde göndermekle işe koyuluyor. PDF dosyası bir hata mesajı içeriyor ve kurbandan sorunu çözmek ve belgenin doğru biçimini/uzantısını görüntülemek için bir bağlantıya tıklamasını istiyor.

Zararlı linke tıklandığındaysa kurban “snapfile.org” adresine yönlendiriliyor ve kurbandan zararlı VBA macroları barındıran çeşitli excel dosyalarının indirilmesi isteniyor.

İndirilen dosyalar, VBS ve PS1 komut dosyalarını dağıtan XLS dosyalarından oluşuyor.

Diğer bir saldırısında ise MuddyWater, zararlı XLS dosyaları yerine bulaşma zincirinde bir Windows yürütülebilir dosyası (EXE) sunan bir PDF’den oluşuyor. Her iki yöntemde de dosyaları indiren kurbanlar, tehdit aktörlerinin kalıcılık ve uzaktan erişim kazanmasına  olanak sağlamış oluyor.

İranlı siber casusluk grubu OilRig Türkiye’deki kurumlara da saldırmış

Ayrıca zararlı dosyalara eklenen token, kurbanların makroları çalıştırdığında tehdit aktörlerine uyarı gönderiyor. Böylelikle saldırganlar, potansiyel hedeflerine ulaşma konusunda daha hızlı olabiliyor.

TRAKYA ÜNİVERSİTESİ AÇIKLAMA YAPTI

MuddyWater’ın yürüttüğü kampanyalara yönelik istihbarat alan Trakya Üniversitesi, söz konusu grubun saldırılarının nasıl gerçekleştiğine ve önlem alma hususunda nelerin yapılması gerektiğine dair bir açıklama yaptı.

Söz konusu açıklamada şu ifadelere yer verildi:

“Çeşitli kurum ve kuruluşlara “nuh.erbakirci@saglik.gov.tr” eposta adresinden “Önemli Covid 19-report”, “E-posta alımına kapalı adres”, “İçişleri Bakanlığı report”, “Ministry of Health Requirements”, “Önemli Covid 19 Genelgesi”, “Sağlık Bakanlığı report” konu başlıkları ile APT kategorisinde zararlı yazılım içerikli epostalar gönderildiği istihbar olunmuştur. Zararlı eposta içerisindeki linke tıklandığında kullanıcıyı “snapfile.org” adresine yönlendirdiği ve kullanıcıya buradan zararlı macro barındıran excel dosyaları indirttiği tespit edilmiştir.

Bu kapsamda;

  1. Zararlı içerikli epostaların gönderildiği istihbar olunan e-posta adresine karşı gerekli önleyici tedbirlerin alınması
  2. Kurum içi E-posta servislerinde gerekli incelemelerin yapılarak zararlı içerikli e-postaların geldiği adreslerin parolalarının değiştirilmesi
  3. Zararlı içerikli epostalardaki excel dosyaları çalıştıran kullanıcıların bilgisayarlarının imajlarının alınarak ağdan izole edilmesi ve tarafımıza ivedilikle bilgi verilmesi
  4. sisterdoreencongreve@gmail.comlillianwnwindrope@gmail.comx.2020@gmail.comubuntoubunto1398@gmail.comve a.sara.1995a@gmail.com mail adreslerinden kurumunuza gelen eposta ve belirtilen mail adreslerine gönderilen epostaların tespiti halinde “.eml” veya “.msg” formatında tarafımıza ivedilikle iletilmesi
  5. Kurum ağından “snapfile.org” adresine ait herhangi bir erişim olup olmadığının kontrolünün yapılması ve tespit halinde tarafımıza ivedilikle bilgi verilmesi
  6. Zararlı yazılım komuta kontrol merkezi olduğu değerlendirilen aşağıdaki adreslere herhangi bir erişim olup olmadığının kontrolünün yapılması ve tespit halinde tarafımıza ivedilikle bilgi verilmesi

185[.]118[.]167[.]120

185[.]118[.]164[.]165

185[.]118[.]164[.]195

185[.]118[.]164[.]213

*.pserver.ru

  1. Kurumunuza ait eposta adreslerinden belirtilen zararlı içerikli epostaların gönderilip gönderilmediğinin kontrollerinin yapılması, herhangi bir tespit halinde tarafımıza ivedilikle bilgi verilmesi
  2. Kurum içerisinde kullanılan son kullanıcılara ait bilgisayarlarda gerekli değilse Powershell ve Ofis macro’larının çalıştırılmasının engellenmesi
  3. Kurum içerisinde kullanıcıların bu konu hakkında dikkatli olmalarını sağlamak amacı ile bilgilendirme yapılması
  4. Bu gibi oltalama e-postalarına karşı kurum içerisinde kullanıcıların farkındalık çalışması yapılması”

MuddyWater KİMDİR?

İran destekli gelişmiş bir tehdit grubu (APT) olarak bilinen MuddyWater’ın adı ilk defa 2017’de duyulmuştu.

Rus merkezli güvenlik şirketi olan Kaspersky Lab araştırmacıları, Ekim 2018’de MuddyWater tarafından düzenlenen geniş çaplı bir operasyonu raporlamıştı. MuddyWater’ın yürüttüğü saldırılarda Suudi Arabistan, Irak, Ürdün, Lübnan ve Türkiye’deki devlet kurumları ve telekomünikasyon kuruluşlarının yanı sıra Azerbaycan, Afganistan ve Pakistan gibi ülkelerdeki çeşitli yerler de hedef alınmıştı.

Daha sonra 2019 yılında dünyanın önde gelen siber güvenlik şirketi Crowdstrike’ın raporunda adı Türkiye ile geçen MuddyWater’ın, Türkiye’de faaliyet gösteren Siyaset, Ekonomi ve Toplumsal Araştırma Vakfı’nın (SETA) web sitesini hedef aldığı ortaya çıkmıştı.

İran devletinin çıkarlarını gözeterek operasyonlar düzenleyen MuddyWater’ın saldırıları, casusluk, fikri mülkiyet hırsızlığı ve fidye yazılım saldırıları etrafında gelişiyor. Orta Doğu’da ulus devletlerin siyasi egemenliğini desteklemek, İran’a ekonomik avantajlar sağlamak gibi hedefleri olan grup Amerika, Avrupa ve Asya ülkelerinde sıklıkla yüksek profilli hedeflere yönelik kampanyalar yürütüyor.