İran Kaynaklı MuddyWater Grubu, İsrail ve Bölgedeki Kritik Sektörlere Yeni MuddyViper Arka Kapısıyla Saldırıyor

Anasayfa » İran Kaynaklı MuddyWater Grubu, İsrail ve Bölgedeki Kritik Sektörlere Yeni MuddyViper Arka Kapısıyla Saldırıyor
APT, Siber Casusluk, Zararlı Yazılım
Aralık 3, 2025Aralık 3, 2025Tarafından Cybernews.TR
0
İran Kaynaklı MuddyWater Grubu, İsrail ve Bölgedeki Kritik Sektörlere Yeni MuddyViper Arka Kapısıyla Saldırıyor

İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğu değerlendirilen MuddyWater (diğer isimleriyle Mango Sandstorm, TA450) adlı hacker grubu, Mayıs 2024 itibarıyla İsrail ve çevresindeki kritik sektörlere yönelik yeni bir saldırı dalgası başlattı. Bu operasyonlarda özellikle yerel yönetimler, sağlık, telekomünikasyon, sivil havacılık ve KOBİ’ler hedef alındı. Ayrıca Mısır merkezli bir teknoloji şirketi de saldırı kapsamına girdi.

Saldırı Zinciri ve Teknik Detaylar

Kampanyalar, hedef odaklı oltalama (spear-phishing) e-postalarıyla başlıyor. Bu e-postalarda PDF ekleri bulunuyor ve Atera, Level, PDQ, SimpleHelp gibi meşru uzak masaüstü araçlarına bağlantılar yer alıyor. Saldırganlar, VPN altyapısındaki bilinen güvenlik açıklarını da istismar ederek ağlara sızıyor. Mayıs 2024’ten itibaren oltalama kampanyalarında yeni bir arka kapı olan BugSleep (MuddyRot) teslim edilmeye başlandı.

Öne çıkan bileşenlerden biri, C/C++ tabanlı MuddyViper arka kapısıdır. Bu arka kapı, sistem bilgisi toplama, dosya ve kabuk komutları yürütme, dosya transferi ve Windows giriş bilgileri ile tarayıcı verilerini sızdırma yeteneklerine sahip. MuddyViper, Fooder adlı özel bir yükleyici ile şifre çözülerek çalıştırılıyor. Fooder, aynı zamanda go-socks5 ters tünel proxy’leri ve macOS dışındaki birçok tarayıcıdan veri toplayan açık kaynaklı HackBrowserData aracını da dağıtıyor.

Grubun diğer araçları arasında Blackout, AnchorRat, CannonRat gibi uzaktan yönetim araçları (RAT), Neshta dosya bulaştırıcı virüs ve Sad C2 komut kontrol çerçevesi bulunuyor. Sad C2, TreasureBox adlı yükleyiciyi dağıtarak BlackPearl RAT ve Pheonix ikililerini C2 sunucularından indiriyor.

Hedef Sektörler ve Bölgeler

İsrail Ulusal Siber Direktörlüğü (INCD) verilerine göre saldırılar, yerel yönetimler, sağlık, telekomünikasyon, turizm, bilgi teknolojileri ve KOBİ’leri kapsıyor. Bu sektörler, kritik altyapı ve kamu hizmetleriyle doğrudan bağlantılı olması nedeniyle yüksek risk altında. Ayrıca Mısır’daki teknoloji şirketi de operasyonun bir parçası olarak hedeflendi.

APT42 ve Charming Kitten Bağlantıları

Bu saldırılar, İranlı APT42 grubunun SpearSpecter kampanyasıyla ilişkilendiriliyor. APT42’nin, Charming Kitten (APT35) olarak bilinen başka bir İranlı hacker grubu ile örtüşmeler gösterdiği düşünülüyor. Son dönemde İngiliz-İranlı aktivist Nariman Gharib tarafından ortaya çıkarılan büyük bir iç belge sızıntısı, İran İslam Devrim Muhafızları Kolordusu’nun (IRGC) Unit 1500 birimi ile bağlantılı sistematik siber operasyonları gözler önüne serdi.

Bu sızıntılar, İran’ın siber istihbarat faaliyetlerinde hiyerarşik ve bürokratik bir yapıya işaret ediyor. Belgelerde, oltalama kampanyalarının başarı oranları, keşif faaliyetleri ve günlük operasyon kayıtları detaylandırılıyor. Ayrıca, Nisan 2023’te ABD, Avrupa, Orta Doğu ve Hindistan’da tespit edilen BellaCiao arka kapısının kaynak kodu da yayımlandı; bu kötü amaçlı yazılımın Tahran’daki Shuhada üssünden yönetildiği belirtiliyor.

Siber Güvenlik Ekipleri İçin Teknik Özet

  • Kullanılan Zararlılar ve Araçlar: MuddyViper arka kapısı, Fooder yükleyici, BugSleep (MuddyRot), Blackout RAT, AnchorRat, CannonRat, Neshta virüsü, Sad C2 komut kontrol çerçevesi, VAXOne, CE-Notes, Blub, LP-Notes.
  • Hedef Sektörler: Kamu kurumları, sağlık, telekomünikasyon, turizm, KOBİ’ler, teknoloji şirketleri (Orta Doğu, İsrail, Mısır).
  • Kullanılan Teknikler: Hedef odaklı oltalama, VPN zafiyetleri istismarı, meşru uzak masaüstü araçlarının kötüye kullanımı, ters tünel proxy’leri, tarayıcı veri hırsızlığı.
  • Saldırı Zinciri: 1) Oltalama e-postası ve PDF eki, 2) Meşru uzak masaüstü araçları ile ağ içi hareketlilik, 3) Fooder yükleyici ile MuddyViper arka kapısının kurulumu, 4) Veri sızıntısı ve komut yürütme.
  • Önerilen Savunma Yaklaşımları: VPN ve uzak erişim altyapısının güncellenmesi, çok faktörlü kimlik doğrulama (MFA) uygulanması, EDR ve SIEM sistemlerinde anormal davranışların izlenmesi, e-posta güvenliği çözümlerinin güçlendirilmesi, ağ segmentasyonu ve olay müdahale planlarının güncellenmesi.

Siber Güvenlik Operasyonları İçin Pratik Kontrol Listesi

  1. Hedef odaklı oltalama e-postalarını tespit etmek için gelişmiş e-posta güvenliği çözümleri kullanın.
  2. VPN ve uzak masaüstü protokollerinde bilinen güvenlik açıklarını düzenli olarak yamalayın.
  3. EDR sistemlerinde MuddyViper ve benzeri arka kapıların davranışlarını tanımlayan kurallar oluşturun.
  4. Tarayıcı veri hırsızlığına karşı, kullanıcı tarayıcılarının güvenlik yapılandırmalarını gözden geçirin.
  5. Çok faktörlü kimlik doğrulamayı (MFA) tüm kritik sistemlerde zorunlu hale getirin.
  6. Ağ segmentasyonu ile kritik sistemleri izole edin ve lateral hareketi zorlaştırın.
  7. Olay müdahale (incident response) planlarını güncelleyerek bu tür saldırı senaryolarını içeren tatbikatlar yapın.
  8. SIEM sistemlerinde anormal ağ trafiği ve komut kontrol (C2) iletişimlerini sürekli izleyin.

Bu gelişmiş saldırılar, İran kaynaklı tehdit aktörlerinin operasyonel olgunluğunu ve teknik kapasitesini artırdığını gösteriyor. Özellikle MuddyViper ve Fooder gibi yeni bileşenlerin kullanımı, gizlilik, kalıcılık ve kimlik bilgisi toplama yeteneklerinde önemli bir evrimi temsil ediyor. Siber güvenlik profesyonellerinin bu tehditlere karşı kapsamlı ve çok katmanlı savunma stratejileri geliştirmesi kritik önem taşıyor.

, , , , , , ,