Geçtiğimiz yılın kasım ayında tespit edilen MuddyWater’ın yönettiği saldırılar TÜBİTAK başta olmak üzere Türkiye’den çeşitli kamu kurumlarını ve özel şirketleri hedefledi.
Cisco Talos tehdit istihbaratı araştırma ekibi tarafından tespit edilen MuddyWater’ın Türkiye’ye yönelik saldırıları nasıl gerçekleştirdiği rapor hâlinde yayımlandı.
MuddyWater, genellikle kurbanlarına Sağlık Bakanlığı veya İçişleri Bakanlığı’ndan geliyormuş gibi görünen ve gömülü zararlı bağlantılar içeren PDF belgesi biçimindeki dosyaları e-posta hâlinde göndermekle işe koyuluyor. PDF dosyası bir hata mesajı içeriyor ve kurbandan sorunu çözmek ve belgenin doğru biçimini/uzantısını görüntülemek için bir bağlantıya tıklamasını istiyor.
Zararlı linke tıklandığındaysa kurban “snapfile.org” adresine yönlendiriliyor ve kurbandan zararlı VBA macroları barındıran çeşitli excel dosyalarının indirilmesi isteniyor.
İndirilen dosyalar, VBS ve PS1 komut dosyalarını dağıtan XLS dosyalarından oluşuyor.
Diğer bir saldırısında ise MuddyWater, zararlı XLS dosyaları yerine bulaşma zincirinde bir Windows yürütülebilir dosyası (EXE) sunan bir PDF’den oluşuyor. Her iki yöntemde de dosyaları indiren kurbanlar, tehdit aktörlerinin kalıcılık ve uzaktan erişim kazanmasına olanak sağlamış oluyor.
İranlı siber casusluk grubu OilRig Türkiye’deki kurumlara da saldırmış
Ayrıca zararlı dosyalara eklenen token, kurbanların makroları çalıştırdığında tehdit aktörlerine uyarı gönderiyor. Böylelikle saldırganlar, potansiyel hedeflerine ulaşma konusunda daha hızlı olabiliyor.
TRAKYA ÜNİVERSİTESİ AÇIKLAMA YAPTI
MuddyWater’ın yürüttüğü kampanyalara yönelik istihbarat alan Trakya Üniversitesi, söz konusu grubun saldırılarının nasıl gerçekleştiğine ve önlem alma hususunda nelerin yapılması gerektiğine dair bir açıklama yaptı.
Söz konusu açıklamada şu ifadelere yer verildi:
“Çeşitli kurum ve kuruluşlara “nuh.erbakirci@saglik.gov.tr” eposta adresinden “Önemli Covid 19-report”, “E-posta alımına kapalı adres”, “İçişleri Bakanlığı report”, “Ministry of Health Requirements”, “Önemli Covid 19 Genelgesi”, “Sağlık Bakanlığı report” konu başlıkları ile APT kategorisinde zararlı yazılım içerikli epostalar gönderildiği istihbar olunmuştur. Zararlı eposta içerisindeki linke tıklandığında kullanıcıyı “snapfile.org” adresine yönlendirdiği ve kullanıcıya buradan zararlı macro barındıran excel dosyaları indirttiği tespit edilmiştir.
Bu kapsamda;
- Zararlı içerikli epostaların gönderildiği istihbar olunan e-posta adresine karşı gerekli önleyici tedbirlerin alınması
- Kurum içi E-posta servislerinde gerekli incelemelerin yapılarak zararlı içerikli e-postaların geldiği adreslerin parolalarının değiştirilmesi
- Zararlı içerikli epostalardaki excel dosyaları çalıştıran kullanıcıların bilgisayarlarının imajlarının alınarak ağdan izole edilmesi ve tarafımıza ivedilikle bilgi verilmesi
- sisterdoreencongreve@gmail.com, lillianwnwindrope@gmail.com, x.2020@gmail.com, ubuntoubunto1398@gmail.comve a.sara.1995a@gmail.com mail adreslerinden kurumunuza gelen eposta ve belirtilen mail adreslerine gönderilen epostaların tespiti halinde “.eml” veya “.msg” formatında tarafımıza ivedilikle iletilmesi
- Kurum ağından “snapfile.org” adresine ait herhangi bir erişim olup olmadığının kontrolünün yapılması ve tespit halinde tarafımıza ivedilikle bilgi verilmesi
- Zararlı yazılım komuta kontrol merkezi olduğu değerlendirilen aşağıdaki adreslere herhangi bir erişim olup olmadığının kontrolünün yapılması ve tespit halinde tarafımıza ivedilikle bilgi verilmesi
185[.]118[.]167[.]120
185[.]118[.]164[.]165
185[.]118[.]164[.]195
185[.]118[.]164[.]213
*.pserver.ru
- Kurumunuza ait eposta adreslerinden belirtilen zararlı içerikli epostaların gönderilip gönderilmediğinin kontrollerinin yapılması, herhangi bir tespit halinde tarafımıza ivedilikle bilgi verilmesi
- Kurum içerisinde kullanılan son kullanıcılara ait bilgisayarlarda gerekli değilse Powershell ve Ofis macro’larının çalıştırılmasının engellenmesi
- Kurum içerisinde kullanıcıların bu konu hakkında dikkatli olmalarını sağlamak amacı ile bilgilendirme yapılması
- Bu gibi oltalama e-postalarına karşı kurum içerisinde kullanıcıların farkındalık çalışması yapılması”
MuddyWater KİMDİR?
İran destekli gelişmiş bir tehdit grubu (APT) olarak bilinen MuddyWater’ın adı ilk defa 2017’de duyulmuştu.
Rus merkezli güvenlik şirketi olan Kaspersky Lab araştırmacıları, Ekim 2018’de MuddyWater tarafından düzenlenen geniş çaplı bir operasyonu raporlamıştı. MuddyWater’ın yürüttüğü saldırılarda Suudi Arabistan, Irak, Ürdün, Lübnan ve Türkiye’deki devlet kurumları ve telekomünikasyon kuruluşlarının yanı sıra Azerbaycan, Afganistan ve Pakistan gibi ülkelerdeki çeşitli yerler de hedef alınmıştı.
Daha sonra 2019 yılında dünyanın önde gelen siber güvenlik şirketi Crowdstrike’ın raporunda adı Türkiye ile geçen MuddyWater’ın, Türkiye’de faaliyet gösteren Siyaset, Ekonomi ve Toplumsal Araştırma Vakfı’nın (SETA) web sitesini hedef aldığı ortaya çıkmıştı.
İran devletinin çıkarlarını gözeterek operasyonlar düzenleyen MuddyWater’ın saldırıları, casusluk, fikri mülkiyet hırsızlığı ve fidye yazılım saldırıları etrafında gelişiyor. Orta Doğu’da ulus devletlerin siyasi egemenliğini desteklemek, İran’a ekonomik avantajlar sağlamak gibi hedefleri olan grup Amerika, Avrupa ve Asya ülkelerinde sıklıkla yüksek profilli hedeflere yönelik kampanyalar yürütüyor.
