Diğer Adlar:
· ATK51
· MOBHAM
· NTSTATS
· POWERSTATS
· SEEDWORM
· STATIC KITTEN
· TEMP.ZAGROS
Hedef Aldıkları Sektörler: Savunma, Eğitim, Enerji, Finansal Servisler, Devlet Kurumları, Sağlık, İleri teknoloji, Uluslar arası Organizasyonlar, Basın
Motivasyonlar ve Hedefler:
· Siber Espiyonaj
Muddywater, saldırıları öncelikle Orta Doğu ülkelerine yöneliktir. Bununla birlikte, Hindistan ve ABD'deki hedefler de dahil olmak üzere çevredeki ülkelere ve ötesine yönelik saldırılar da gözlemlenmiştir. MuddyWater saldırıları, "POWERSTATS" olarak adlandırdığımız, yavaş gelişen PowerShell tabanlı ilk aşama arka kapının kullanılmasıyla karakterize edilir. MuddyWater saldırılarıyla ilgili kapsamlı incelemelere ve raporlara rağmen, aktiviteleri araçlarında ve tekniklerinde artan değişikliklerle devam etmektedir.
Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler
Zararlı Yazılımlar | Sömürülen Zaafiyetler | Diğer Yazılımlar |
MuddyC3 POWERSTATS |
| LaZagne Mimikatz |
Hedef Aldığı Ülkeler: Türkiye, Avusturya, Azerbaycan, Bahreyn, Asya, Doğu Avrupa, Gürcistan, Hindistan, İsrail, Irak, Mali, Orta Doğu, Kuzey Amerika, Pakistan, Rusya, Suudi Arabistan, Güney Asya, ABD, Birleşik Arap Emirlikleri, Batı Avrupa
Kampanyalar
Orta Doğu, ABD ve Hindistan’ın Hedef Alınması: Muddywater, 2017 yılı boyunca Orta Doğu ve çevre bölgelerdeki hedeflerle aktif oldu. Hedef alınan ülkeler Suudi Arabistan, Irak, İsrail, Birleşik Arap Emirlikleri, Gürcistan, Hindistan, Pakistan, Türkiye ve ABD oldu.
SeedWorm’un Powermud Backdoor Kampanyası: Seedworm kampanyası, eylül 2018 sonu ile aynı yılın Kasım ayı ortası arasında gerçekleşti. Symantec'e göre, toplam 131 kurban Powermud Backdoor ile enfekte oldu. Kurbanlar çoğunlukla Pakistan ve Türkiye'deydiler. Rusya, Suudi Arabistan, Afganistan, Ürdün ve diğer ülkelerde bu arka kapının kurbanı olan kuruluşlar da vardı.
Avrupa ve Kuzey Amerika örgütleri de tehlikeye atıldı. Ortak paydaları, Orta Doğu ile olan bağlarıydı.
Etkilenen sektörler arasında telekomünikasyon ve BT hizmetleri bulunmaktadır. Petrol ve gaz sektöründe de mağdurlar var, özellikle Orta Doğu'da faaliyet gösteren büyük bir Rus grubuna bağlı şirketler mağdurlar arasındaydı. Enerji sektörünün diğer kurbanları Kuzey Amerika, Orta Doğu, Afrika ve Asya'da idiler.
Asya ve Orta Doğu'yu hedeflemek için spear phishing kampanyasındaki TTP'sini güncelledi: Ocak 2018'den Mart 2018'e kadar FireEye, kötü amaçlı makro tabanlı belgeleri Asya ve Orta Doğu'daki kişilere dağıtmak için kod yürütme ve kalıcılık tekniklerinden yararlanan MuddyWater’ı gözlemledi.
23 Ocak’tan 26 Şubat 2018’ e kadar: Türkiye, Pakistan, Tacikistan hedef alındı.
27 Şubat’tan 5 Mart 2018’e kadar: Türkiye, Hindistan, Pakistan hedef alındı.
Taktik ve Teknikler (MITRE ATT&CK Framework
Initial Access
T1566.001 – Phishing: Spearphishing Attachment
Execution
T1047 - Windows Management Instrumentation
T1059 - Command and Scripting Interpreter
T1059 - Scripting
T1059.001 - Command and Scripting Interpreter: PowerShell
T1170 - Mshta
T1559.002 - Inter-Process Communication: Dynamic Data Exchange
T1191 - CMSTP
T1204 - User Execution
Persistence
T1060 - Registry Run Keys / Startup Folder
Privilege Escalation
T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control
Defense Evasion
T1027 - Obfuscated Files or Information
T1036 - Masquerading
T1059 - Scripting
T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control
T1218.011 - Signed Binary Proxy Execution: Rundll32
T1140 - Deobfuscate/Decode Files or Information
T1170 - Mshta
T1191 - CMSTP
T1500 - Compile After Delivery
Credential Access
T1003 – OS Credential Dumping
T1552.001 – Unsecured Credentials: Credentials in Files
Discovery
T1016 - System Network Configuration
Discovery
T1033 - System Owner/User Discovery
T1057 - Process Discovery
T1518.001 – Software Discovery: Security Software Discovery
T1082 - System Information Discovery
T1083 - File and Directory Discovery
Lateral Movement
T1544 - Remote File Copy
T1021.003 – Remote Services: Distributed Component Object Model
Collection
T1113 - Screen Capture
Command and Control
T1090 - Connection Proxy
T1104 - Multi-Stage Channels
T1544 - Remote File Copy
Exfiltration
T1560 - Archive Collected Data
0 Yorumlar