İran destekli MuddyWater hacker grubu, Türkiye’deki özel şirketler ve Devlet kurumlarını hedef alan yeni bir saldırı başlattıkları belirtildi. Saldırıları gerçekleştirmek için karmaşık PowerShell tabanlı downloader kullanmak ve hedeflenen ağlara ilk erişim elde etmek için PDF’ler, XLS dosyaları ve Windows yürütülebilir dosyaları gibi çeşitli dosya türleri kullandıkları belirtildi.
Cisco Talos’taki araştırmacılar tarafından hazırlanan yeni bir rapor, MuddyWater’ı Türk şirketleri ve Devlet kurumlarını hedef alan son saldırıları açıkladı. Saldırılar, Türkçe adlara sahip dosyaları kullanan ve Sağlık veya İçişleri Bakanlığı’ndan geliyormuş gibi davranan hedef odaklı kimlik avı ile başlıyor.
Saldırının bir parçası olarak MuddyWater saldırganları, bir PDF dosyası teslim etmekle başlayan iki saldırı zinciri kullanıyor. İlk durumda, PDF tıklandığında bir XLS dosyası getiren gömülü bir link içeriyor. Bu dosyalar, bulaşma sürecini başlatan ve yeni bir kayıt defteri anahtarı oluşturarak kalıcılık sağlayan kötü amaçlı VBA makroları taşıyan tipik XLS belgelerini içeriyor.
Aynı aşamada, bir VBScript’i PowerShell downloader ile indirlir ve çalıştırılıyor.
İkinci saldırı zinciri, XLS yerine bir EXE dosyası kullanıyor ancak yine de arada VBScript’i indiren PowerShell downloader kullanılıyor ve sisteme yeni bir kayıt defteri girdisi ekliyor.
Kaynak: bleepingcomputer.com