MuddyWater
MuddyWater, en az 2017'den beri aktif olan ve sofistike phishing avı ve istismar teknikleri yoluyla küresel hükümet, telekomünikasyon, savunma ve enerji sektörlerini hedef almasıyla bilinen İran bağlantılı bir siber casusluk grubudur.
MuddyWater'ın Kökeni
STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm ve TEMP.Zagros olarak da bilinen MuddyWater, İran İstihbarat ve Güvenlik Bakanlığı'nın (MOIS) bir parçası olarak tanımlanan gelişmiş bir kalıcı tehdit (APT) grubudur. En az 2017'den beri aktif olan MuddyWater, kampanyaları için çeşitli sofistike teknikler ve özel malware kullanarak siber casusluk operasyonlarında uzmanlaşmıştır. Grup, tespit ve savunmalardan kaçmak için sürekli olarak taktikler ve malware geliştirerek dikkat çekici bir şekilde uyarlanabilir.
Hedeflenen Ülkeler
MuddyWater'ın kurbanları, başta Orta Doğu, Avrasya ve Orta Asya olmak üzere küresel çapta yayılmakta ve özellikle Türkiye, Tacikistan, Hollanda, Azerbaycan, Ermenistan, Pakistan, Irak, Umman, Suudi Arabistan, Birleşik Arap Emirlikleri, Suriye, Afganistan, Hindistan, Ürdün, İsrail, Filistin, Türkmenistan, Gürcistan, Malta, Almanya ve ABD'yi hedef almaktadır. Bu coğrafi çeşitlilik, onların kapsamlı uluslararası casusluk kampanyalarını ortaya koymaktadır.
Hedeflenen Sektörler
MuddyWater, devlet kurumları, askeri kuruluşlar, telekomünikasyon, akademi, petrol ve gaz, havacılık, sağlık, STK'lar, teknoloji, finansal hizmetler, konaklama, tarım, enerji, ilaç, emlak, havacılık ve yerel yönetimler gibi çeşitli sektörlere yönelik operasyonlar gerçekleştirmiştir. Bu geniş hedefleme, ulusal altyapı ve bilgi kontrolü açısından kritik sektörlere yönelik stratejik bir ilgiye işaret etmektedir.
Bilinen Kurbanlar
Bilinen spesifik saldırılar arasında, Orta Doğu siyasi dinamiklerine yönelik sürekli bir ilgiyi yansıtan, çok sayıda İsrail akademik kurumuna yönelik son kampanyalar (2025) yer almaktadır. Ayrıca, çeşitli ülkelerdeki hükümet, savunma, telekomünikasyon ve enerji kuruluşları grubun operasyonel geçmişi boyunca defalarca hedef alınmıştır.
MuddyWater'ın Saldırı Yöntemi
Öncelikle hedefli phishing e-postaları (ekler veya kötü amaçlı bağlantılar), ele geçirilmiş üçüncü taraf hesapları veya Microsoft Exchange ve Office ürünlerindeki bilinen güvenlik açıklarından yararlanma yoluyla.
MuddyWater, Kullanıcı Hesabı Denetimi (UAC) mekanizmalarını kötüye kullanır ve yükseltilmiş erişim için DLL yan yükleme teknikleri uygular.
Base64 kodlama, steganografi ve CMSTP, Mshta ve Rundll32 gibi yasal araçların (LOLBins) kullanımı dahil olmak üzere gizleme yöntemleri uygular.
LSASS belleğinden, web tarayıcılarından, e-posta istemcilerinden ve önbelleğe alınmış etki alanı kimlik bilgilerinden kimlik bilgilerini ayıklamak için Mimikatz, LaZagne ve Browser64 gibi kimlik bilgisi dökümü araçlarını kullanır.
Hesap numaralandırma, dosya ve dizin tarama ve güvenlik ürünleri de dahil olmak üzere yazılım keşfi için komut dosyaları ve özel malware kullanır.
Güvenliği ihlal edilmiş ağlarda yanal olarak hareket etmek için Remote Utilities, SimpleHelp, Atera Agent ve ScreenConnect gibi yasal uzaktan erişim çözümlerini kullanır.
Yerel yardımcı programları (makecab.exe) kullanarak ekran görüntülerinin yakalanması ve verilerin aşamalı olarak arşivlenmesi standart uygulamalardır.
PowerShell, Windows Komut Kabuğu, VBScript, Python, JavaScript aracılığıyla ve uzaktan erişim araçlarından yararlanarak yürütülen yükleri dağıtır.
HTTP/DNS protokolleri üzerinden şifrelenmiş ve gizlenmiş iletişimler kullanarak komuta ve kontrol (C2) kanalları aracılığıyla veri sızdırır.
Birincil hedef, yıkıcı saldırılardan ziyade hassas, stratejik ve gizli bilgilerin çalınmasıyla sonuçlanan siber casusluğu içerir.
Öncelikle hedefli phishing e-postaları (ekler veya kötü amaçlı bağlantılar), ele geçirilmiş üçüncü taraf hesapları veya Microsoft Exchange ve Office ürünlerindeki bilinen güvenlik açıklarından yararlanma yoluyla.
MuddyWater, Kullanıcı Hesabı Denetimi (UAC) mekanizmalarını kötüye kullanır ve yükseltilmiş erişim için DLL yan yükleme teknikleri uygular.
Base64 kodlama, steganografi ve CMSTP, Mshta ve Rundll32 gibi yasal araçların (LOLBins) kullanımı dahil olmak üzere gizleme yöntemleri uygular.
LSASS belleğinden, web tarayıcılarından, e-posta istemcilerinden ve önbelleğe alınmış etki alanı kimlik bilgilerinden kimlik bilgilerini ayıklamak için Mimikatz, LaZagne ve Browser64 gibi kimlik bilgisi dökümü araçlarını kullanır.
Hesap numaralandırma, dosya ve dizin tarama ve güvenlik ürünleri de dahil olmak üzere yazılım keşfi için komut dosyaları ve özel malware kullanır.
Güvenliği ihlal edilmiş ağlarda yanal olarak hareket etmek için Remote Utilities, SimpleHelp, Atera Agent ve ScreenConnect gibi yasal uzaktan erişim çözümlerini kullanır.
Yerel yardımcı programları (makecab.exe) kullanarak ekran görüntülerinin yakalanması ve verilerin aşamalı olarak arşivlenmesi standart uygulamalardır.
PowerShell, Windows Komut Kabuğu, VBScript, Python, JavaScript aracılığıyla ve uzaktan erişim araçlarından yararlanarak yürütülen yükleri dağıtır.
HTTP/DNS protokolleri üzerinden şifrelenmiş ve gizlenmiş iletişimler kullanarak komuta ve kontrol (C2) kanalları aracılığıyla veri sızdırır.
Birincil hedef, yıkıcı saldırılardan ziyade hassas, stratejik ve gizli bilgilerin çalınmasıyla sonuçlanan siber casusluğu içerir.
MuddyWater Tarafından Kullanılan TTP'ler
Vectra AI ile Çamurlu Su Nasıl Tespit Edilir
Vectra AI Platformunda bulunan ve bir APT saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
MuddyWater'ın arkasında kim var?
MuddyWater İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) atfedilmektedir.
MuddyWater'ın birincil saldırı vektörleri nelerdir?
Kötü niyetli ekler ve bağlantılar içeren kimlik phishing e-postaları kullanırlar ve kamuya açık güvenlik açıklarından yararlanırlar.
MuddyWater savunmadan nasıl kaçıyor?
Çeşitli gizleme yöntemleri, meşru araçlar, steganografi ve DLL yan yüklemesi kullanırlar.
Hangi malware araçları MuddyWater ile ilişkilidir?
POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent ve diğerleri.
MuddyWater hangi sektörleri hedefliyor?
Telekomünikasyon, savunma, akademi, petrol ve gaz, sağlık, teknoloji, STK'lar ve devlet kurumları.
MuddyWater'ın faaliyetlerini hangi araçlar tespit edebilir?
Kuruluşlar ,Vectra AI gibi gelişmiş Ağ Tespit ve Yanıt (NDR) çözümlerinden yararlanmalıdır.
Kuruluşlar MuddyWater saldırılarına karşı savunmak için ne yapabilir?
Kuruluşlar güvenlik yamalarını derhal uygulamalı, kullanıcıları kimlik phishing farkındalığı konusunda eğitmeli, çok faktörlü kimlik doğrulamayı zorunlu kılmalı ve ağ trafiği ile kullanıcı faaliyetlerini yakından izlemelidir.
MuddyWater güvenlik açıklarından yararlanıyor mu?
Evet, CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) ve CVE-2020-1472 (Netlogon) gibi güvenlik açıklarından yararlanıyorlar.
MuddyWater'ın küresel erişimi var mı?
Evet, öncelikle Orta Doğu ve Asya'da faaliyet gösteren MuddyWater, Kuzey Amerika ve Avrupa dahil olmak üzere dünya çapındaki kuruluşları hedeflemektedir.
Bir kuruluş MuddyWater'ın yanal hareketini nasıl tespit edebilir?
Kuruluşlar, aşağıdaki gibi gelişmiş Ağ Tespit ve Müdahale (NDR) çözümlerini kullanarak MuddyWater ile ilişkili yanal hareketleri etkili bir şekilde tespit edebilir Vectra AI. Vectra AI , ağ trafiğini sürekli olarak izlemek için yapay zeka ve makine öğrenimi algoritmalarından yararlanarak yetkisiz uzaktan erişim aracı kullanımı, şüpheli dahili bağlantılar ve beklenmedik kimlik bilgisi kullanım modelleri gibi anormal davranışları hızla tanımlar. Vectra AI , gerçek zamanlı görünürlük ve öncelikli tehdit uyarıları sağlayarak, güvenlik ekiplerinin MuddyWater tarafından oluşturulan tehditleri önemli hasar meydana gelmeden önce hızla tespit etmelerini ve kontrol altına almalarını sağlar.