İranlı MuddyWater Hackerları Son Kampanyada Yeni C2 Aracı ‘DarkBeatC2’yi Benimsedi

İranlı MuddyWater Hackerları Son Kampanyada Yeni C2 Aracı ‘DarkBeatC2’yi Benimsedi

İranlı MuddyWater grubunun son zamanlarda yeni bir C2 altyapısına geçtiği ve bu kez DarkBeatC2SimpleHarm, MuddyC3, PhonyC2 ve MuddyC2Go gibi önceki araçların yerine Deep Instinct güvenlik araştırmacısı Simon Kenin tarafından açıklanan yeni bir teknik raporda da belirtildi. Bu grup, en az 2017’den beri aktif olarak çeşitli saldırılar düzenleyerek Uzaktan İzleme ve Yönetim (RMM) çözümlerini hedef alıyor. Ayrıca, İsrail’e yönelik yıkıcı saldırılar düzenleyen başka bir İran tehdit faaliyeti olan Storm-1084 (DarkBit) ile bağlantılı oldukları da opsiyonlarda.

Önceki ay Proofpoint tarafından açıklanan saldırı kampanyası, Egnyte gibi hizmetlerde barındırılan bağlantılar veya ekler içeren ele geçirilmiş hesaplardan gönderilen hedef odaklı kimlik avı e-postalarıyla başlıyor. Bu saldırılar, hem İsrail’deki eğitim kurumlarına hem de savunma sektöründe faaliyet gösteren şirketlere yönelik olabilir. MuddyWater’ın bu saldırılarda hedef odaklı kimlik avı e-postaları kullanarak iletişim kurduğu ve PowerShell kodu aracılığıyla C2 sunucusuyla iletişim kurduğu biliniyor.

Ayrıca, Palo Alto Networks Birim 42 tarafından yapılan bir inceleme, tehdit aktörlerinin Windows Kayıt Defteri’ni kötüye kullanarak DarkBeatC2 etki alanlarıyla bağlantılar kurduğunu gösteriyor. Bu saldırılar, hedef odaklı kimlik avı e-postaları kadar kötü amaçlı kitaplıkların çalıştırılmasını içeriyor ve PowerShell kodunu kullanarak sisteme kalıcılık sağlıyor.

MuddyWater’ın yanı sıra, İranlı tehdit aktörü Peach Sandstorm tarafından kullanılan FalseFont adlı bir arka kapının analizi de yapıldı. Bu arka kapı, hava ve savunma sanayi sektörlerini hedef alan son derece hedefli bir saldırı biçimidir. FalseFont, kurbanları işe alım süreci gibi kandırarak meşru insan kaynakları yazılımlarını taklit edip, kimlik bilgilerini çalarak ve komutları yürüterek C2 sunucusuna ileten karmaşık bir yapı içeriyor.

Sonuç olarak, hem MuddyWater grubunun hem de FalseFont arka kapısının karmaşık ve hedef odaklı saldırılar düzenlediği görülüyor. Bu tür tehditlerle karşı karşıya kalan şirketlerin ve kurumların siber güvenlik önlemlerini güçlendirmesi ve bilinçlendirme çalışmalarını yürütmesi önem taşıyor. Okuyucuyu bu tür saldırıların varlığında dikkatli olmaya ve güvenlik önlemlerini sıkılaştırmaya teşvik etmek önemlidir.