İran Bağlantılı APT Grubu, Casusluk Kampanyasında Chaos Fidye Yazılımı Üyesi Taklidi Yaptı Yazılım

İran Bağlantılı APT Grubu, Casusluk Kampanyasında Chaos Fidye Yazılımı Üyesi Taklidi Yaptı

Rapid7, İran bağlantılı MuddyWater grubunun Chaos fidye yazılımı kılıfında casusluk yaptığını ortaya çıkardı.

Güvenlik firması Rapid7, yayımladığı yeni bir raporda, İran hükümetiyle bağlantılı bir Gelişmiş Sürekli Tehdit (APT) grubunun, jeopolitik casusluk faaliyetlerini gizlemek ve sorumluluğu reddetmek amacıyla Chaos fidye yazılımı üyesi gibi davrandığını iddia etti. 'Muddying the Tracks: The State-Sponsored Shadow Behind Chaos Ransomware' başlıklı raporda, söz konusu saldırının MuddyWater (Seedworm, Static Kitten, Mango Sandstorm olarak da bilinir) grubu tarafından gerçekleştirilen bir sahte bayrak operasyonu olduğu belirtildi. MuddyWater, İran İstihbarat ve Güvenlik Bakanlığı ile bağlantılı bir tehdit aktörü olarak biliniyor.

Rapid7'nin analizine göre, 2026 yılının başlarında gerçekleşen ve ismi açıklanmayan bir kuruluşu hedef alan sızma girişimi, bir çalışana Microsoft Teams üzerinden yapılan sosyal mühendislik saldırısıyla başladı. Saldırgan, ele geçirilen kullanıcı hesapları üzerinden etkileşimli olarak hareket ederek keşif faaliyetleri yürüttü, çok faktörlü kimlik doğrulama (MFA) manipülasyonu da dahil olmak üzere kimlik bilgilerini topladı ve kısa sürede meşru hesapları kullanarak iç ağa erişim sağladı. Ardından DWAgent ve AnyDesk gibi uzaktan erişim araçlarıyla kalıcılık sağlayan tehdit aktörü, ek yükler indirerek ortamın kontrolünü ele geçirdi. Son olarak, verileri sızdırdığını iddia ederek kurbanla e-posta yoluyla iletişime geçti ve fidye pazarlığı başlattı.

Saldırganın veri sızdırdığı iddiasına rağmen, Chaos grubunun 'kör' geri sayım sayacı kullanması nedeniyle mağdur bilgileri sızıntı sitesinde görüntülenemedi. Ayrıca, kurbanın masaüstüne güvenli sohbet için 'erişim kimlik bilgileri' içeren bir not bıraktığı iddia edilse de Rapid7 bu notu bulamadı. Raporda, 'Kanıt göstermedeki bu tutarsızlıklara rağmen, tehdit aktörü daha sonra çalıntı verileri modern gasp taktiklerine uygun olarak sızıntı sitesinde yayınladı' denildi. Sızdırılan verilerin gerçek olduğu değerlendirilirken, grubun fidye yazılımı yükü dağıtmaması dikkat çekti; oysa finansal motivasyonlu sıradan bir Chaos üyesinin bunu yapması beklenirdi.

Nasıl Önlem Alınmalı?

Rapid7, MuddyWater'ın daha önce kullandığı altyapıyla birçok bağlantı tespit etti. Bunlar arasında kötü amaçlı yazılım örneklerini doğrulamak için kullanılan 'Donald Gay' kod imzalama sertifikası, komuta ve kontrol (C2) altyapısını destekleyen moonzonet[.]com alan adı, askıya alınmış süreçlere kod enjekte etmek için pythonw.exe kullanımı ve MFA ile kimlik bilgilerini toplamak için etkileşimli Microsoft Teams oturumları yer alıyor. MuddyWater'ın daha önce de RaaS gruplarını taklit ettiği biliniyor; 2025 sonlarında İsrail merkezli bir kuruluşa yönelik saldırıda Qilin RaaS ekosistemi kullanılmıştı. Rapora göre, Chaos'a geçiş, ilişkilendirme riskini daha da azaltmak için yapılmış olabilir. Rapid7, 'RaaS çerçevesinin kullanımı, devlet destekli faaliyet ile finansal motivasyonlu siber suç arasındaki ayrımı bulanıklaştırarak ilişkilendirmeyi zorlaştırabilir' değerlendirmesinde bulundu. Rapor, güvenlik araştırmacılarına 'fidye yazılımı göstergelerinin ötesine bakmaları' ve sızma yaşam döngüsünü yakından incelemeleri çağrısı yaparak sona eriyor.

Paylaş: