İran destekli APT grubu MuddyWater bu kez Türkiye'yi daha yaygın şekilde hedefleyen saldırılar ile karşımıza tekrar çıktı. Geçtiğimiz yıllarda TINA ile tespit ettiğimiz ve engellediğimiz saldırılardan birisi olan MuddyWater daha önceleri ABD, Avrupa, Orta Doğu ve Asya'da büyük ölçekli saldırılarda çok kez görüldü ve 2017 yılından beri aktif olarak saldırılarına devam etmektedir.
MuddyWater'ın saldırılarının dayandığı 3 ana motivasyon bulunmaktadır. - Devlet çıkarları amaçlı motive edilen grup casusluk yapmakta ve devletinin siyasi egemenliğini sürdürmeyi planlamaktadır.
- Saldırıda bulunduğu ülkelerde özel kurum ve kuruluşlar, kamu kurumları ve üniversiteler gibi geliştirme yapılan noktalarda fikri mülkiyet hırsızlığı gerçekleştirerek, ekonomik çıkar sağlamaktadır.
- APT gruplarının en çok tercih ettiği yöntemlerden biri olan fidye yazılımı (ransomware) saldırıları da, bu grubun ana odaklarındandır.
Grup saldırılarında ilk iletişim HTTP ile gerçekleşirken, sızma sonrası komuta ve kontrol sunucuları ile olan bağlantı DNS üzerinden gerçekleşmektedir.
MuddyWater grubunun Türkiye'de büyük kurumlar ve kritik kurumları da Kasım 2021'den beri taklit ettiği ortaya çıktı. Saldırılarını gömülü bağlantı içeren PDF ve XLS gibi dosyalar üzerinden gerçekleştirmekte, gönderilen dosyalar Sağlık Bakanlığı, İçişleri Bakanlığı gibi adreslerden geliyormuş gibi görünmektedir.
Oltalama saldırılarının gerçekleştirildiği bazı mail adresleri;
kardesdoreencontreve@ gmail[.]com lillianwnwindrope@ gmail[.]com doktor.x.2020@ gmail[.]com ubuntoubunto1398@ gmail[.]com a.sara.1995a@g mail[.]com
Bazı Komuta ve Kontrol Sunucu IPleri;
185[.]118[.]167[.]120 185[.]118[.]164[.]165 185[.]118[.]164[.]195 185[.]118[.]164[.]213
|