ahmetbeyler
New member
Dünya çapında siber akınlar kıymetli ölçüde artmaya devam ederken, bugün Türkiye’ye yönelik yapılan bir siber taarruz ortaya çıkarıldı. Ağ teknolojileri şirketi Cisco’nun bünyesinde bulunan Talos İstihbarat Kümesi, İran dayanaklı bir hacker kümesinin Türkiye’ye yönelik yaptığı siber atağın bilgilerinı ortaya çıkardı.
Cisco Talos tarafınca paylaşılan ayrıntılı blog gönderisine bakılırsa neredeyse kesin olarak MuddyWater isimli ‘gelişmiş daima tehdit (GST)’ akın kümesi tarafınca yapılan hücum, özel Türk kuruluşları ve devlet kurumlarını gaye alıyordu. Taarruz, berbat maksatlı kodlar içeren PDF’ler ve Office belgeleri üzere belgelerle gerçekleştiriliyordu.
Gelecek taarruzlar için köprü olacak kodları bilgisayar yüklüyorlardı
Talos tarafınca yapılan açıklamaya nazaran MuddyWater’a bağlı olduğu düşünülen taarruzlar, Kasım 2021’e kadar takip edilebildi. TÜBİTAK’ı da maksat aldığı açıklanan akınlarda kullanılan makus maksatlı evraklar, çoklukla e-posta üzerinden gönderiliyorlardı. Bu belgeler indirilip açıldığındaysa bir indirme ilişkisi yer alıyor ve bu temas, ‘snapfile.org’ üzerinden hackerlara erişim sağlayacak ziyanlı yazılımı içeren bir Excel evrakı indiriliyordu.
Evraklar, olabildiğince az kuşkulu gözükmek içinse Türkçe ve resmi isimleri kullanıyordu. Bu belge isimlerinden kimileri, evrakın Sıhhat ya da İçişleri Bakanlığı tarafınca gönderilmiş olabileceğine işaret ediyor, kimileriyse ‘Süreç_No’ yahut ‘Teklif_form_onayli’ üzere değerli gösterilmek üzere isimlendiriliyordu.
Bilgisayara PDF belgesindeki kontağa tıklanarak indirilen belge aracılığıyla yüklenen ziyanlı yazılım, bilgisayarda PowerShell kodlarının uzaktan çalıştırılmasını sağlıyordu. Çalıştırılan kodlar, öteki akınları sağlayacak ek kodlar için bir indirme yöneticisi nazaranvi görüyordu. bu biçimdelikle hackerlar, bu bilgisayarlara istedikleri saldırıyı yapabilme imkânına sahip oluyorlardı.
Kelam konusu hücum hakkında Trakya Üniversitesi ve Ulusal Siber Olaylara Müdahale Merkezi (USOM), daha evvel bu taarruz hakkında bir ikaz paylaşmıştı. Trakya Üniversitesi’nin ikazında belgelerin gönderildiği e-posta adresleri ve ziyanlı yazılım denetim merkezi olduğu bedellendirilen IP adresleri yer alıyordu. Bu ikazdaki adresler, Talos’un araştırmasıyla uyuşuyor.
MuddyWater kümesi kimdir?
MuddyWater olarak bilinen İran merkezli hacker kümesi, bugüne kadar casusluk, fikri mülkiyet hırsızlığı ve fidye maksadıyla ataklar düzenledi. 2017 yılından beri faal olan küme, ABD Siber Komutanlığı tarafınca İran İstihbarat ve Güvenlik Bakanlığı’yla bağdaştırıldı.
Atak hakkında daha fazla teknik ayrıntı öğrenmek için, Talos’un blog gönderisine buraya tıklayarak ulaşabilirsiniz.
Cisco Talos tarafınca paylaşılan ayrıntılı blog gönderisine bakılırsa neredeyse kesin olarak MuddyWater isimli ‘gelişmiş daima tehdit (GST)’ akın kümesi tarafınca yapılan hücum, özel Türk kuruluşları ve devlet kurumlarını gaye alıyordu. Taarruz, berbat maksatlı kodlar içeren PDF’ler ve Office belgeleri üzere belgelerle gerçekleştiriliyordu.
Gelecek taarruzlar için köprü olacak kodları bilgisayar yüklüyorlardı
Talos tarafınca yapılan açıklamaya nazaran MuddyWater’a bağlı olduğu düşünülen taarruzlar, Kasım 2021’e kadar takip edilebildi. TÜBİTAK’ı da maksat aldığı açıklanan akınlarda kullanılan makus maksatlı evraklar, çoklukla e-posta üzerinden gönderiliyorlardı. Bu belgeler indirilip açıldığındaysa bir indirme ilişkisi yer alıyor ve bu temas, ‘snapfile.org’ üzerinden hackerlara erişim sağlayacak ziyanlı yazılımı içeren bir Excel evrakı indiriliyordu.
Evraklar, olabildiğince az kuşkulu gözükmek içinse Türkçe ve resmi isimleri kullanıyordu. Bu belge isimlerinden kimileri, evrakın Sıhhat ya da İçişleri Bakanlığı tarafınca gönderilmiş olabileceğine işaret ediyor, kimileriyse ‘Süreç_No’ yahut ‘Teklif_form_onayli’ üzere değerli gösterilmek üzere isimlendiriliyordu.
Bilgisayara PDF belgesindeki kontağa tıklanarak indirilen belge aracılığıyla yüklenen ziyanlı yazılım, bilgisayarda PowerShell kodlarının uzaktan çalıştırılmasını sağlıyordu. Çalıştırılan kodlar, öteki akınları sağlayacak ek kodlar için bir indirme yöneticisi nazaranvi görüyordu. bu biçimdelikle hackerlar, bu bilgisayarlara istedikleri saldırıyı yapabilme imkânına sahip oluyorlardı.
Kelam konusu hücum hakkında Trakya Üniversitesi ve Ulusal Siber Olaylara Müdahale Merkezi (USOM), daha evvel bu taarruz hakkında bir ikaz paylaşmıştı. Trakya Üniversitesi’nin ikazında belgelerin gönderildiği e-posta adresleri ve ziyanlı yazılım denetim merkezi olduğu bedellendirilen IP adresleri yer alıyordu. Bu ikazdaki adresler, Talos’un araştırmasıyla uyuşuyor.
MuddyWater kümesi kimdir?
MuddyWater olarak bilinen İran merkezli hacker kümesi, bugüne kadar casusluk, fikri mülkiyet hırsızlığı ve fidye maksadıyla ataklar düzenledi. 2017 yılından beri faal olan küme, ABD Siber Komutanlığı tarafınca İran İstihbarat ve Güvenlik Bakanlığı’yla bağdaştırıldı.
Atak hakkında daha fazla teknik ayrıntı öğrenmek için, Talos’un blog gönderisine buraya tıklayarak ulaşabilirsiniz.