MUDDYWATER

Diğer Adlar:

·       ATK51

·       MOBHAM

·       NTSTATS

·       POWERSTATS

·       SEEDWORM

·       STATIC KITTEN

·       TEMP.ZAGROS

Hedef Aldıkları Sektörler: Savunma, Eğitim, Enerji, Finansal Servisler, Devlet Kurumları, Sağlık, İleri teknoloji, Uluslar arası Organizasyonlar, Basın

Motivasyonlar ve Hedefler:

·       Siber Espiyonaj

Muddywater, saldırıları öncelikle Orta Doğu ülkelerine yöneliktir. Bununla birlikte, Hindistan ve ABD'deki hedefler de dahil olmak üzere çevredeki ülkelere ve ötesine yönelik saldırılar da gözlemlenmiştir. MuddyWater saldırıları, "POWERSTATS" olarak adlandırdığımız, yavaş gelişen PowerShell tabanlı ilk aşama arka kapının kullanılmasıyla karakterize edilir. MuddyWater saldırılarıyla ilgili kapsamlı incelemelere ve raporlara rağmen, aktiviteleri araçlarında ve tekniklerinde artan değişikliklerle devam etmektedir.

Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler

Zararlı Yazılımlar	Sömürülen Zaafiyetler	Diğer Yazılımlar
MuddyC3 POWERSTATS		LaZagne Mimikatz

 

Hedef Aldığı Ülkeler: Türkiye, Avusturya, Azerbaycan, Bahreyn, Asya, Doğu Avrupa, Gürcistan, Hindistan, İsrail, Irak, Mali, Orta Doğu, Kuzey Amerika, Pakistan, Rusya, Suudi Arabistan, Güney Asya, ABD, Birleşik Arap Emirlikleri, Batı Avrupa

Kampanyalar

Orta Doğu, ABD ve Hindistan’ın Hedef Alınması: Muddywater, 2017 yılı boyunca Orta Doğu ve çevre bölgelerdeki hedeflerle aktif oldu. Hedef alınan ülkeler Suudi Arabistan, Irak, İsrail, Birleşik Arap Emirlikleri, Gürcistan, Hindistan, Pakistan, Türkiye ve ABD oldu.

SeedWorm’un Powermud Backdoor Kampanyası: Seedworm kampanyası, eylül 2018 sonu ile aynı yılın Kasım ayı ortası arasında gerçekleşti. Symantec'e göre, toplam 131 kurban Powermud Backdoor ile enfekte oldu. Kurbanlar çoğunlukla Pakistan ve Türkiye'deydiler. Rusya, Suudi Arabistan, Afganistan, Ürdün ve diğer ülkelerde bu arka kapının kurbanı olan kuruluşlar da vardı.

Avrupa ve Kuzey Amerika örgütleri de tehlikeye atıldı. Ortak paydaları, Orta Doğu ile olan bağlarıydı.

Etkilenen sektörler arasında telekomünikasyon ve BT hizmetleri bulunmaktadır. Petrol ve gaz sektöründe de mağdurlar var, özellikle Orta Doğu'da faaliyet gösteren büyük bir Rus grubuna bağlı şirketler mağdurlar arasındaydı. Enerji sektörünün diğer kurbanları Kuzey Amerika, Orta Doğu, Afrika ve Asya'da idiler.

Asya ve Orta Doğu'yu hedeflemek için spear phishing kampanyasındaki TTP'sini güncelledi: Ocak 2018'den Mart 2018'e kadar FireEye, kötü amaçlı makro tabanlı belgeleri Asya ve Orta Doğu'daki kişilere dağıtmak için kod yürütme ve kalıcılık tekniklerinden yararlanan MuddyWater’ı gözlemledi.

23 Ocak’tan 26 Şubat 2018’ e kadar: Türkiye, Pakistan, Tacikistan hedef alındı.

27 Şubat’tan 5 Mart 2018’e kadar: Türkiye, Hindistan, Pakistan hedef alındı.

Taktik ve Teknikler (MITRE ATT&CK Framework

Initial Access

T1566.001 – Phishing: Spearphishing Attachment

Execution

T1047 - Windows Management Instrumentation

T1059 - Command and Scripting Interpreter

T1059 - Scripting

T1059.001 - Command and Scripting Interpreter: PowerShell

T1170 - Mshta

T1559.002 - Inter-Process Communication: Dynamic Data Exchange

T1191 - CMSTP

T1204 - User Execution

Persistence

T1060 - Registry Run Keys / Startup Folder

Privilege Escalation

T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control

Defense Evasion

T1027 - Obfuscated Files or Information

T1036 - Masquerading

T1059 - Scripting

T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control

T1218.011 - Signed Binary Proxy Execution: Rundll32

T1140 - Deobfuscate/Decode Files or Information

T1170 - Mshta

T1191 - CMSTP

T1500 - Compile After Delivery

Credential Access

T1003 – OS Credential Dumping

T1552.001 – Unsecured Credentials: Credentials in Files

Discovery

T1016 - System Network Configuration

Discovery

T1033 - System Owner/User Discovery

T1057 - Process Discovery

T1518.001 – Software Discovery: Security Software Discovery

T1082 - System Information Discovery

T1083 - File and Directory Discovery

Lateral Movement

T1544 - Remote File Copy

T1021.003 – Remote Services: Distributed Component Object Model

Collection                                              

T1113 - Screen Capture

Command and Control

T1090 - Connection Proxy

T1104 - Multi-Stage Channels

T1544 - Remote File Copy

Exfiltration

T1560 - Archive Collected Data