2017’den beri bilinen ve ağırlıklı olarak Orta Asya ve Orta Doğu’daki hükümet kuruluşlarını hedef alan MuddyWater, genel olarak saldırıda bulunduğu ülkelerin kamu kurumlarından gelmiş gibi düzenlenen oltalama mesajları ile zararlı dosyaları iletip, daha önce güvenilir seviyede olan hacklenmiş web sitelerine kurum bilgilerini sızdırmasıyla biliniyordu.
En son Mart 2018’de Türkiye, Pakistan ve Tacikistan’a yapılan saldırılarla da bağlantısı olduğu keşfedilen grup, 2017’de Suudi Arabistan hükümetine karşı düzenlediği casusluk saldırısıyla ortaya çıktı. Trend Micro’nun güvenlik istihbarat birimi TrendLabs’in detaylı araştırmaları, siber suçluların gerçekleştirdikleri saldırılarda kullandıkları cihazların, tekniklerin ve prosedürlerin birbirlerinden çok farklı olmadığını ortaya çıkardı.Daha önceki zararlı aktivitelerle benzerliği kadar farklılığı da var
MuddyWater 2017 yılından bu yana aktif olarak görülen, hükümet ve kamu kurumlarını hedef alan bir örgüt olarak biliniyor. Daha önceleri de çeşitli ülkelerde zararlı saldırı faaliyetlerinde bulunan örgütün genel olarak saldırılarında kamu kurumları ve enerji sektörünü hedeflediği dikkat çekiyor.
MuddyWater tarafından geliştirilen PowerShell tabanlı bu zararlı yazılıma son dönemde Türkiye'de yeniden rastlandı. Trend Micro, yaptığı araştırmalar sonucunda zararlı yazılımın Raport.doc ya da Gizli Raport.doc veya maliyeraporti.doc olarak adlandırılan dosyaların çalıştırılması ile aktif hale geldiğini belirledi. En son karşılaşılan saldırıda ise zararlı yazılım, daha önce kullanılan Powerstats arka kapısından farklı bir yöntem ile veri sızıntısı yapacağı yerler ve komuta kontrol merkezi ile iletişimini bilinen ve güvenilen bir cloud dosya sunucusuna doğru API (Yazılım Programlama Arayüzü) aracılığı ile gerçekleştiriyor.
Zararlı dosyalar kullanıcılara sahte e-postalar ile iletiliyor. Bu e-posta içeriklerinde kullanıcıları kandırmak amacıyla kamu kurumlarına ait logolar ile tasarlanmış inandırıcı yazı içerikleri kullanılıyor. Kullanıcıların dosyaları açmaları durumunda karşılarına makroların etkin kılınması için uyarılar çıkıyor. Eğer makrolar etkin kılınırsa zararlı yazılım çalışmasını tamamlıyor.
İLK ADIM FARKINDALIK GELİŞTİRMEK
Bu tarz arka kapılar, e-posta kanallarından gelen spam ya da oltalama mesajları aracılığıyla sosyal mühendislik yöntemlerini kullanıp hedeflerini manipüle etmek için kullanılıyor. Zararlı dosyalar çalıştırıldıktan sonra zararlı yazılım geliştiricileri amaçlarına ulaşıyor. Kurum çalışanlarının bu tarz zararlı içerikli e-postaları fark etmelerini sağlamak konuyla ilgili atılacak ilk adım.
Oltalama ve sosyal mühendislik saldırıları karşısında bilinçlenmenin yanı sıra kurumların etkin güvenlik çözümleri kullanması oldukça önemli. Trend Micro Deep Discovery çözümü günümüz zararlı yazılımlarına karşı derinlemesine analiz ve proaktif engelleme sağlayıp, kurumları güncel tehditler karşısında koruma altına alıyor. Deep Discovery, özelleştirilebilen sandbox ve etkin tespit yöntemleriyle saldırıların tüm detaylarını ilişkilendirip 360 derece görünürlükle koruma sağlıyor.
Trend Micro Hosted Email Security, Deep Discovery Email Inspector çözümleri spam, oltalama, fidye yazılımı ve ileri teknikteki saldırıları kurumlara ulaşmadan engellerken son kullanıcı tarafında yer alan zararlı yazılım faaliyetlerin engellenmesinde ise Smart Protection Suite çözümü zararlı yazılımlardan gelebilecek olumsuz etkileri ortadan kaldırıyor. (DHA)