MuddyWater

MuddyWater, en az 2017'den beri aktif olan ve sofistike phishing avı ve istismar teknikleri yoluyla küresel hükümet, telekomünikasyon, savunma ve enerji sektörlerini hedef almasıyla bilinen İran bağlantılı bir siber casusluk grubudur.

Kuruluşunuz MuddyWater'ın Saldırılarına Karşı Güvende mi?

MuddyWater'ın Kökeni

STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm ve TEMP.Zagros olarak da bilinen MuddyWater, İran İstihbarat ve Güvenlik Bakanlığı'nın (MOIS) bir parçası olarak tanımlanan gelişmiş bir kalıcı tehdit (APT) grubudur. En az 2017'den beri aktif olan MuddyWater, kampanyaları için çeşitli sofistike teknikler ve özel malware kullanarak siber casusluk operasyonlarında uzmanlaşmıştır. Grup, tespit ve savunmalardan kaçmak için sürekli olarak taktikler ve malware geliştirerek dikkat çekici bir şekilde uyarlanabilir.

Hedeflenen Ülkeler

MuddyWater'ın kurbanları, başta Orta Doğu, Avrasya ve Orta Asya olmak üzere küresel çapta yayılmakta ve özellikle Türkiye, Tacikistan, Hollanda, Azerbaycan, Ermenistan, Pakistan, Irak, Umman, Suudi Arabistan, Birleşik Arap Emirlikleri, Suriye, Afganistan, Hindistan, Ürdün, İsrail, Filistin, Türkmenistan, Gürcistan, Malta, Almanya ve ABD'yi hedef almaktadır. Bu coğrafi çeşitlilik, onların kapsamlı uluslararası casusluk kampanyalarını ortaya koymaktadır.

Hedeflenen Sektörler

MuddyWater, devlet kurumları, askeri kuruluşlar, telekomünikasyon, akademi, petrol ve gaz, havacılık, sağlık, STK'lar, teknoloji, finansal hizmetler, konaklama, tarım, enerji, ilaç, emlak, havacılık ve yerel yönetimler gibi çeşitli sektörlere yönelik operasyonlar gerçekleştirmiştir. Bu geniş hedefleme, ulusal altyapı ve bilgi kontrolü açısından kritik sektörlere yönelik stratejik bir ilgiye işaret etmektedir.

Bilinen Kurbanlar

Bilinen spesifik saldırılar arasında, Orta Doğu siyasi dinamiklerine yönelik sürekli bir ilgiyi yansıtan, çok sayıda İsrail akademik kurumuna yönelik son kampanyalar (2025) yer almaktadır. Ayrıca, çeşitli ülkelerdeki hükümet, savunma, telekomünikasyon ve enerji kuruluşları grubun operasyonel geçmişi boyunca defalarca hedef alınmıştır.

Saldırı Yöntemi

MuddyWater'ın Saldırı Yöntemi

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Öncelikle hedefli phishing e-postaları (ekler veya kötü amaçlı bağlantılar), ele geçirilmiş üçüncü taraf hesapları veya Microsoft Exchange ve Office ürünlerindeki bilinen güvenlik açıklarından yararlanma yoluyla.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

MuddyWater, Kullanıcı Hesabı Denetimi (UAC) mekanizmalarını kötüye kullanır ve yükseltilmiş erişim için DLL yan yükleme teknikleri uygular.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Base64 kodlama, steganografi ve CMSTP, Mshta ve Rundll32 gibi yasal araçların (LOLBins) kullanımı dahil olmak üzere gizleme yöntemleri uygular.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

LSASS belleğinden, web tarayıcılarından, e-posta istemcilerinden ve önbelleğe alınmış etki alanı kimlik bilgilerinden kimlik bilgilerini ayıklamak için Mimikatz, LaZagne ve Browser64 gibi kimlik bilgisi dökümü araçlarını kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Hesap numaralandırma, dosya ve dizin tarama ve güvenlik ürünleri de dahil olmak üzere yazılım keşfi için komut dosyaları ve özel malware kullanır.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Güvenliği ihlal edilmiş ağlarda yanal olarak hareket etmek için Remote Utilities, SimpleHelp, Atera Agent ve ScreenConnect gibi yasal uzaktan erişim çözümlerini kullanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Yerel yardımcı programları (makecab.exe) kullanarak ekran görüntülerinin yakalanması ve verilerin aşamalı olarak arşivlenmesi standart uygulamalardır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

PowerShell, Windows Komut Kabuğu, VBScript, Python, JavaScript aracılığıyla ve uzaktan erişim araçlarından yararlanarak yürütülen yükleri dağıtır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

HTTP/DNS protokolleri üzerinden şifrelenmiş ve gizlenmiş iletişimler kullanarak komuta ve kontrol (C2) kanalları aracılığıyla veri sızdırır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Birincil hedef, yıkıcı saldırılardan ziyade hassas, stratejik ve gizli bilgilerin çalınmasıyla sonuçlanan siber casusluğu içerir.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

Öncelikle hedefli phishing e-postaları (ekler veya kötü amaçlı bağlantılar), ele geçirilmiş üçüncü taraf hesapları veya Microsoft Exchange ve Office ürünlerindeki bilinen güvenlik açıklarından yararlanma yoluyla.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

MuddyWater, Kullanıcı Hesabı Denetimi (UAC) mekanizmalarını kötüye kullanır ve yükseltilmiş erişim için DLL yan yükleme teknikleri uygular.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Base64 kodlama, steganografi ve CMSTP, Mshta ve Rundll32 gibi yasal araçların (LOLBins) kullanımı dahil olmak üzere gizleme yöntemleri uygular.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

LSASS belleğinden, web tarayıcılarından, e-posta istemcilerinden ve önbelleğe alınmış etki alanı kimlik bilgilerinden kimlik bilgilerini ayıklamak için Mimikatz, LaZagne ve Browser64 gibi kimlik bilgisi dökümü araçlarını kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Hesap numaralandırma, dosya ve dizin tarama ve güvenlik ürünleri de dahil olmak üzere yazılım keşfi için komut dosyaları ve özel malware kullanır.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Güvenliği ihlal edilmiş ağlarda yanal olarak hareket etmek için Remote Utilities, SimpleHelp, Atera Agent ve ScreenConnect gibi yasal uzaktan erişim çözümlerini kullanır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Yerel yardımcı programları (makecab.exe) kullanarak ekran görüntülerinin yakalanması ve verilerin aşamalı olarak arşivlenmesi standart uygulamalardır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

PowerShell, Windows Komut Kabuğu, VBScript, Python, JavaScript aracılığıyla ve uzaktan erişim araçlarından yararlanarak yürütülen yükleri dağıtır.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

HTTP/DNS protokolleri üzerinden şifrelenmiş ve gizlenmiş iletişimler kullanarak komuta ve kontrol (C2) kanalları aracılığıyla veri sızdırır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Birincil hedef, yıkıcı saldırılardan ziyade hassas, stratejik ve gizli bilgilerin çalınmasıyla sonuçlanan siber casusluğu içerir.

MITRE ATT&CK Haritalama

MuddyWater Tarafından Kullanılan TTP'ler

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1574
Hijack Execution Flow
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1574
Hijack Execution Flow
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1574
Hijack Execution Flow
TA0006: Credential Access
T1555
Credentials from Password Stores
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1210
Exploitation of Remote Services
TA0009: Collection
T1113
Screen Capture
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Platform Tespitleri

Vectra AI ile Çamurlu Su Nasıl Tespit Edilir

Vectra AI Platformunda bulunan ve bir APT saldırısına işaret edebilecek Tespitlerin listesi.

Sıkça Sorulan Sorular

MuddyWater'ın arkasında kim var?

MuddyWater'ın birincil saldırı vektörleri nelerdir?

MuddyWater savunmadan nasıl kaçıyor?

Hangi malware araçları MuddyWater ile ilişkilidir?

MuddyWater hangi sektörleri hedefliyor?

MuddyWater'ın faaliyetlerini hangi araçlar tespit edebilir?

Kuruluşlar MuddyWater saldırılarına karşı savunmak için ne yapabilir?

MuddyWater güvenlik açıklarından yararlanıyor mu?

MuddyWater'ın küresel erişimi var mı?

Bir kuruluş MuddyWater'ın yanal hareketini nasıl tespit edebilir?