İran destekli MuddyWater adlı hacker grubu, son saldırı dalgasında dikkat çekici bir yöntem değişikliğine gitti. Daha önce “gürültülü” ve kolay tespit edilebilir araçlar kullanan grubun, bu kez çok daha sessiz ve gelişmiş bir operasyon yürüttüğü tespit edildi.
Fooder: Snake oyunu gibi görünen sinsi yükleyici
Saldırılarda kullanılan yeni yükleyici “Fooder”, klasik Snake (yılan) oyunu gibi görünerek güvenlik analistlerini yanıltıyor. Bu sahte oyun ekranı yalnızca görsel bir kamuflaj değil; Snake’in yapısı kullanılarak özel gecikme fonksiyonları oluşturuluyor ve yükleyici analiz araçlarından daha iyi gizleniyor.
Yeni arka kapı: MuddyViper sahneye çıktı
Fooder’ın sisteme indirdiği MuddyViper’ın daha önce raporlanmamış yeni bir backdoor olduğu belirlendi. C/C++ ile geliştirilen bu araç:
sistem bilgilerini topluyor,
dosya indirip yükleyebiliyor,
komut çalıştırabiliyor,
sahte Windows Güvenlik pencereleri göstererek kullanıcı kimlik bilgilerini çalabiliyor.
Oltalama e-postalarıyla ilk temas
Kampanyanın başlangıç noktası yine hedef odaklı spear phishing e-postaları oldu. PDF eklerindeki bağlantılar kurbanları OneHub, Egnyte ve Mega gibi depolama servislerinde barındırılan dosyalara yönlendirdi. İndirilen dosyalar RMM yazılımı gibi görünse de gerçekte Fooder yükleyicisini sisteme kuruyordu.
Hedefte kritik sektörler: 17 kurum ve bir Mısır şirketi
MuddyWater’ın saldırılarında İsrail’de toplam 17 kurum hedef alındı. Bunlar arasında:
mühendislik,
yerel yönetimler,
üretim,
teknoloji,
ulaşım,
enerji ve kamu hizmetleri,
üniversiteler…
yer alıyor.
Ayrıca Mısır’da teknoloji alanında faaliyet gösteren bir kuruluş da saldırıya maruz kaldı.
