Türkiye’de Sular Hala Bulanık: MuddyWater Saldırılarına Devam Ediyor

2017 yılının Şubat ayından beri faaliyette olduğu bilinen MuddyWater APT saldırı grubunun ülkemizde düşünüldüğünden daha aktif olduğu ortaya çıktı. Trend Micro tarafından yayınlanan yazıda Türkiye’den gelen bazı zararlı yazılım örneklerinin bu gruba ait olduğu açıklandı.

Bizimde geçtiğimiz aylarda Türkiye’de ve özellikle finans sektöründe faaliyette bulunan birkaç müşterimizde rastladığımız MuddyWater grubu rapor.doc, Gizli Rapor.doc ve maliyetraporu(gizli Bilgi).doc adlı dosyalarla tekrar gündemde.

Virus Total’e Türkiye’den yüklenen bu dosyaların içerisinde grubun kullandığı zararlıyı indirdiği tespit edilmiş.

MuddyWater; Türkiye, Suudi Arabistan ve Pakistan gibi ülkelerde faaliyet gösteren bir APT (Advanced Persistent Threat – Gelişmiş Sürekli Tehdit) grubudur. Şu ana kadar düzenlenen saldırılarda PowerShell’de yazılmış bir arkakapı yazılımı kullanan grup son saldırı dalgasında Türkiye ile özel olarak ilgileniyor gibi.

Saldırı Maliye Bakanlığı ve Gelirler İdaresi gibi kurumların logolarının bulunduğu bu Word belgelerini içeren oltalama e-postaları ile gerçekleştiriliyor. Kurum logosunu gören kurban belgenin talep ettiği biçimde macroları etkinleştirmekte bir sakınca görmüyor.

 

Devreye giren macro PowerShell’de yazılmış arkakapının bulunduğu bir adet .dll ve bir adet .reg uzantılı dosya indiriyor.

Zararlı PowerShell betiği devreye girdikten sonra hedef bilgisayarın işletim sistemi, domain adı, kullanıcı adı ve IP adresi gibi bilgiler komuta sunucusuna gönderiliyor. Bu saldırı dalgasında verileri sızdırmak için bir bulut hizmet sağlayıcısının API bağlantısının kullanılması da dikkat çekiyor.

Bu maillerin Finans ve enerji sektöründe faaliyet gösteren kamu ve özel sektör kuruluşlarına gönderildiği biliniyor.

MuddyWater özünde, oltalama maili ile başlayan çok standart bir APT metodolojisi izliyor. Saldırganların teknik açıdan standardın üstünde becerilere sahip olmalarına rağmen bu yolu tercih etmelerinin tek nedeni etkili olması. Bu ve benzeri saldırılara kurban olmamak için kullanıcıların farkındalıklarını artırmak son derece önemli.

Onun dışında dikkat edilmesinde fayda olacak bazı noktalar şunlar;

  1. Firewall ve benzeri ağ geçidi cihazlarından geçen trafiğinizi denetleyin. Kuruluş ağınızdaki hangi bilgisayarın dışarıda kimlerle nasıl bağlantı kurduğunu takip edin.
  2. Amazon veya benzeri bulut servisleriyle tarayıcı dışında bir araçla iletişim kurmadığından emin olun. Çok özel birkaç durum dışında talep/istek tarayıcıdan çıkmalı.
  3. Belirli aralıklarla ağınızdaki bilgisayarlarda hangi uygulama ve proseslerin çalıştığını denetleyin.
  4. E-posta güvenlik ağ geçidi (mail security gateway) ayarlarını kontrol edin.
  5. Kuruluş yerel ağındaki trafiği denetleyin. Yerel ağ trafiğinin bir güvenlik duvarı veya IPS üzerinden dönmesini sağlayın.
  6. Ağ genelinde bir log yönetim süreci oluşturun.

 

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*