Daha önce de özellikle Orta Asya ve Orta Doğu’dasaldırılarda bulunan MuddyWater isimli grubun yönteminin kullanıldığı hedeflioltalama saldırısının yeni adresi Türkiye oldu.
2017’den beri bilinen ve ağırlıklı olarak Orta Asya veOrta Doğu’daki hükümet kuruluşlarını hedef alan MuddyWater, genel olaraksaldırıda bulunduğu ülkelerin kamu kurumlarından gelmiş gibi düzenlenenoltalama mesajları ile zararlı dosyaları iletip, daha önce güvenilir seviyedeolan hacklenmiş web sitelerine kurum bilgilerini sızdırmasıyla biliniyordu.
En son Mart 2018’de Türkiye, Pakistan ve Tacikistan’ayapılan saldırılarla da bağlantısı olduğu keşfedilen grup, 2017’de SuudiArabistan hükümetine karşı düzenlediği casusluk saldırısıyla ortaya çıktı.Trend Micro’nun güvenlik istihbarat birimi TrendLabs’in detaylı araştırmaları,siber suçluların gerçekleştirdikleri saldırılarda kullandıkları cihazların,tekniklerin ve prosedürlerin birbirlerinden çok farklı olmadığını ortayaçıkardı.
Daha önceki zararlı aktivitelerle benzerliği kadarfarklılığı da var
MuddyWater 2017 yılından bu yana aktif olarak görülen,hükümet ve kamu kurumlarını hedef alan bir örgüt olarak biliniyor. Dahaönceleri de çeşitli ülkelerde zararlı saldırı faaliyetlerinde bulunan örgütüngenel olarak saldırılarında kamu kurumları ve enerji sektörünü hedeflediğidikkat çekiyor.
MuddyWater tarafından geliştirilen PowerShell tabanlı buzararlı yazılıma son dönemde Türkiye'de yeniden rastlandı. Trend Micro, yaptığıaraştırmalar sonucunda zararlı yazılımın Raport.doc ya da GizliRaport.doc veya maliyeraporti.doc olarak adlandırılan dosyalarınçalıştırılması ile aktif hale geldiğini belirledi. En son karşılaşılansaldırıda ise zararlı yazılım, daha önce kullanılan Powerstats arka kapısındanfarklı bir yöntem ile veri sızıntısı yapacağı yerler ve komuta kontrol merkeziile iletişimini bilinen ve güvenilen bir cloud dosya sunucusuna doğru API(Yazılım Programlama Arayüzü) aracılığı ile gerçekleştiriyor.
Zararlı dosyalar kullanıcılara sahte e-postalar ileiletiliyor. Bu e-posta içeriklerinde kullanıcıları kandırmak amacıyla kamukurumlarına ait logolar ile tasarlanmış inandırıcı yazı içeriklerikullanılıyor. Kullanıcıların dosyaları açmaları durumunda karşılarınamakroların etkin kılınması için uyarılar çıkıyor. Eğer makrolar etkin kılınırsazararlı yazılım çalışmasını tamamlıyor.
İlk adım farkındalık geliştirmek
Bu tarz arka kapılar, e-posta kanallarından gelen spam yada oltalama mesajları aracılığıyla sosyal mühendislik yöntemlerini kullanıphedeflerini manipüle etmek için kullanılıyor. Zararlı dosyalar çalıştırıldıktansonra zararlı yazılım geliştiricileri amaçlarına ulaşıyor. Kurum çalışanlarınınbu tarz zararlı içerikli e-postaları fark etmelerini sağlamak konuyla ilgiliatılacak ilk adım.
Oltalama ve sosyal mühendislik saldırıları karşısındabilinçlenmenin yanı sıra kurumların etkin güvenlik çözümleri kullanması oldukçaönemli. Trend Micro Deep Discovery çözümü günümüz zararlı yazılımlarına karşıderinlemesine analiz ve proaktif engelleme sağlayıp, kurumları güncel tehditlerkarşısında koruma altına alıyor. Deep Discovery, özelleştirilebilen sandbox veetkin tespit yöntemleriyle saldırıların tüm detaylarını ilişkilendirip 360derece görünürlükle koruma sağlıyor.
Trend Micro Hosted Email Security, Deep Discovery EmailInspector çözümleri spam, oltalama, fidye yazılımı ve ileri tekniktekisaldırıları kurumlara ulaşmadan engellerken son kullanıcı tarafında yer alanzararlı yazılım faaliyetlerin engellenmesinde ise Smart Protection Suite çözümüzararlı yazılımlardan gelebilecek olumsuz etkileri ortadan kaldırıyor.
