İran Bağlantılı APT Grubu MuddyWater, Kaos Fidye Yazılımı Kılıfıyla Casusluk Operasyonu Yürüttü Yazılım

İran Bağlantılı APT Grubu MuddyWater, Kaos Fidye Yazılımı Kılıfıyla Casusluk Operasyonu Yürüttü

Rapid7, İran destekli MuddyWater grubunun Chaos fidye yazılımı üyesi gibi davranarak casusluk yaptığını ortaya çıkardı.

Siber güvenlik firması Rapid7, yayımladığı yeni bir raporla İran istihbaratı bağlantılı MuddyWater grubunun (Seedworm, Static Kitten, Mango Sandstorm) Chaos fidye yazılımı kılıfına girerek bir false flag operasyonu yürüttüğünü duyurdu. 'Muddying the Tracks: The State-Sponsored Shadow Behind Chaos Ransomware' başlıklı rapor, 2026 başlarında gerçekleşen bir sızma olayını mercek altına alıyor. Saldırganlar, Chaos fidye yazılımı ağına bağlı bir üye gibi davranarak jeopolitik casusluk faaliyetlerini gizlemeyi ve hedef ağlarda ön konumlanma yapmayı amaçladı.

Saldırı, kimliği açıklanmayan bir kuruluşta başladı. İlk adım, bir çalışana Microsoft Teams üzerinden sosyal mühendislik uygulanmasıydı. Rapid7'ye göre saldırgan, ekran paylaşımı yoluyla çalışanın bilgisayarına erişti. Ardından interaktif olarak hareket eden tehdit aktörü (TA), keşif yaptı, çok faktörlü kimlik doğrulama (MFA) dahil olmak üzere kimlik bilgilerini topladı ve meşru hesapları kullanarak iç ağa geçti. Kalıcılık için DWAgent ve AnyDesk gibi uzaktan erişim araçları kullanıldı, ardından ek yükler devreye alındı. Veri sızdırma işleminin ardından kurbanla e-posta yoluyla iletişime geçilerek fidye talep edildi.

İlginç bir şekilde, saldırgan veri sızdırdığını iddia etse de Chaos grubunun 'kör' geri sayım zamanlayıcısı kullanması nedeniyle kurban bilgileri sızıntı sitesinde görüntülenemedi. Ayrıca saldırgan, kurbanın masaüstünde güvenli sohbet için 'erişim kimlik bilgileri' içeren bir not bıraktığını iddia etti ancak Rapid7 bu nota ulaşamadı. Yine de çalınan veriler daha sonra Chaos'un veri sızıntı sitesinde yayınlandı. Ancak dikkat çekici bir şekilde, fidye yazılımı yükü hiçbir zaman dağıtılmadı; bu, finansal motivasyonlu bir Chaos üyesinden beklenmeyen bir davranış.

Teknik Analiz

Rapid7, saldırıda kullanılan altyapı ile MuddyWater'ın geçmişteki faaliyetleri arasında çarpıcı benzerlikler tespit etti. Bunlar arasında 'Donald Gay' imzalı bir kod imza sertifikası, moonzonet[.]com alan adının C2 altyapısı olarak kullanılması, pythonw.exe ile askıya alınmış süreçlere kod enjeksiyonu ve MFA ile kimlik bilgilerini toplamak için interaktif Microsoft Teams oturumları yer alıyor. MuddyWater daha önce de Qilin fidye yazılımı ekosistemini kullanarak İsrailli bir kuruluşu hedef almıştı. Rapor, Chaos'a geçişin izleri daha da karmaşık hale getirmek için yapıldığını öne sürüyor.

Sistem Güvenliği

Rapid7, bu tür bir hibrit tehdit modelinin, devlet destekli faaliyetler ile finansal motivasyonlu siber suç arasındaki çizgiyi bulanıklaştırdığını vurguluyor. Fidye ve müzakere unsurları, savunma ekiplerinin dikkatini anlık etkiye odaklayarak DWAgent veya AnyDesk gibi araçlarla kurulan kalıcılık mekanizmalarının tespitini geciktirebiliyor. Araştırmacılar, bu tür saldırılarda 'bariz fidye yazılımı göstergelerinin ötesine bakılması' ve sızma yaşam döngüsünün derinlemesine incelenmesi gerektiğini belirtiyor.

Sonuç olarak, bu faaliyet fidye yazılımının bir son değil, bir gizleme, zorlama ve operasyonel esneklik aracı olarak kullanıldığı hibrit bir sızma modelidir. İşletmelerin, özellikle Microsoft Teams gibi işbirliği araçları üzerinden gelen sosyal mühendizlik saldırılarına karşı dikkatli olmaları, MFA'yı atlatma girişimlerine karşı koruma önlemleri almaları ve şüpheli uzaktan erişim oturumlarını izlemeleri önerilir.

Kaynak: infosecurity-magazine.com

Paylaş: