Genel Bakış
MuddyWater (diğer adıyla Seedworm veya Static Kitten), İran merkezli olduğu değerlendirilen ve genellikle casusluk faaliyetleri yürüten gelişmiş bir tehdit aktörüdür. Son dönemde yapılan analizler, grubun operasyonlarını gizlemek için 'Chaos' fidye yazılımını bir dikkat dağıtma (decoy) aracı olarak kullandığını göstermektedir. Bu yöntem, güvenlik ekiplerinin asıl veri sızdırma faaliyetlerini gözden kaçırmasına neden olmaktadır.
Saldırı Vektörü: Sosyal Mühendislik
Saldırganlar, Microsoft Teams üzerinden kurumsal ağlara sızmak için sosyal mühendislik tekniklerini kullanmaktadır. Genellikle dışarıdan gönderilen zararlı dosyalar veya sahte iş birliği davetleri, kullanıcının sistemine ilk erişimi sağlar.
Savunma ve Tespit Adımları
- Uç Nokta İzleme: Şüpheli PowerShell veya WMI komutlarını izleyin.
- Teams Kısıtlamaları: Dış kullanıcılardan gelen dosya transferlerini kısıtlayın veya denetleyin.
- Yara Kuralları: Chaos fidye yazılımı imzalarını tespit etmek için özel Yara kuralları oluşturun.
Teknik İnceleme ve Komutlar
Saldırganların kalıcılık sağlamak için kullandığı yöntemleri tespit etmek adına aşağıdaki komutları kullanabilirsiniz:
# Şüpheli zamanlanmış görevleri listele
schtasks /query /fo LIST /v | findstr /i "TaskName"
# PowerShell geçmişini kontrol et
Get-Content (Get-PSReadlineOption).HistorySavePath | Select-String -Pattern "-enc"Dikkat: Chaos fidye yazılımı bir decoy (yem) olsa bile, sistemde gerçek bir şifreleme başlatma riski her zaman mevcuttur. Bu nedenle, şüpheli bir aktivite durumunda sistemin derhal ağdan izole edilmesi kritiktir.
Sonuç
MuddyWater'ın bu stratejisi, fidye yazılımı saldırılarının her zaman bir 'şifreleme' amacı taşımadığını, bazen sadece dikkat dağıtmak için kullanıldığını kanıtlamaktadır. Güvenlik operasyon merkezleri (SOC), sadece fidye yazılımı uyarılarına odaklanmak yerine, ağ içindeki lateral hareketleri (yanal hareket) de yakından takip etmelidir.
