Snake oyunu kılığıyla İsrail ve Mısır’daki kritik altyapıları hedef alınıyor
Siber güvenlik şirketi ESET, İran bağlantılı MuddyWater grubunun İsrail ve Mısır’daki kritik altyapı kuruluşlarını hedef alan yeni bir siber casusluk kampanyasını ortaya çıkardı. Araştırmacılar, kampanyada Fooder adlı özel bir yükleyici ve yeni geliştirilen MuddyViper arka kapısının kullanıldığını tespit etti. Görünüşte klasik Snake oyunu gibi davranan Fooder, arka planda gelişmiş siber casusluk yazılımlarını çalıştırıyor.
MuddyWater’ın hedefleri ve kullanılan araçlar
İran İstihbarat ve Ulusal Güvenlik Bakanlığı ile bağlantılı olduğu bilinen MuddyWater, Mango Sandstorm ve TA450 adlarıyla da tanınıyor. Grup özellikle hükümet kurumlarını ve kritik altyapı sektörlerini hedef alan saldırılar düzenliyor. ESET’in son bulgularına göre faaliyetler ağırlıklı olarak İsrail’deki teknoloji, mühendislik, imalat, yerel yönetim ve eğitim kuruluşlarına yönelirken bir hedefin Mısır’da bulunduğu belirlendi.
Yeni arka kapı MuddyViper, sistem bilgilerinin toplanmasına, dosya çalıştırılmasına, veri aktarımına ve Windows oturum açma kimlik bilgilerinin sızdırılmasına imkân tanıyor. Kampanya ayrıca CE-Notes, LP-Notes ve Blub gibi çeşitli kimlik bilgisi hırsızlarını da içeriyor.
Gelişmiş yöntemler ve Snake oyunuyla kamuflaj
Kampanyanın dikkat çeken unsurlarından biri, MuddyViper’ın dağıtımında kullanılan ve klasik Snake oyunu görünümünde tasarlanmış Fooder yükleyicisi. Bu araç, kötü amaçlı faaliyetleri gizlemek için oyun mantığını taklit eden özel gecikme işlevleri kullanıyor. Ayrıca otomatik analiz sistemlerinden kaçmak amacıyla “Sleep” çağrılarını yoğun biçimde uyguluyor.
ESET, MuddyWater’ın kampanyada Windows’un yeni nesil kriptografik API’si CNG’yi benimsemesinin de İran bağlantılı gruplar için sıra dışı bir gelişme olduğuna dikkat çekiyor.
İlk erişim: Spearphishing ve RMM yazılımları
Saldırıların ilk aşaması çoğunlukla spearphishing e-postalarıyla başlıyor. Bu e-postalarda PDF dosyaları üzerinden OneHub, Egnyte veya Mega gibi platformlara yönlendiren bağlantılar bulunuyor. Bu bağlantılar aracılığıyla Atera, Level, PDQ ve SimpleHelp gibi uzaktan yönetim araçları indiriliyor. MuddyWater ayrıca VAX One arka kapısıyla meşru yazılım adlarını taklit ediyor; bunlar arasında Veeam, AnyDesk, Xerox ve OneDrive güncelleyicileri yer alıyor.
Grup geçmişi ve önceki kampanyalar
MuddyWater ilk olarak 2017’de Unit 42 tarafından kamuoyuna tanıtıldı. ESET’in bugüne kadar incelediği faaliyetler, grubun Orta Doğu’da hükümet kurumlarını hedef alma, kimlik avı ve makro temelli sahte belgeler kullanma eğilimiyle uyumlu.
Grubun geçmiş kampanyaları arasında 2020’de İsrail hükümet kurumlarını hedef alan Operation Quicksand ve Türkiye’deki siyasi gruplara yönelik operasyonlar bulunuyor. Yakın dönemde Suudi Arabistan’da kimliği belirsiz bir kurbanı hedef alan kampanyalar ile 2025’te Lyceum grubuyla operasyonel örtüşme gösteren faaliyetler kaydedildi. ESET, bu iş birliğinin MuddyWater’ın İran bağlantılı gruplar için bir “ilk erişim sağlayıcısı” rolü üstlenmiş olabileceğini belirtiyor.