Giriş: Politik Gerilim Siber Uzaya Taşındı
İran İstihbarat Bakanlığı (MOIS) ile bağlantılı olduğu bilinen MuddyWater (diğer adlarıyla Mercury, Static Kitten) grubu, namluyu yeniden Türkiye ve Azerbaycan’a çevirdi. Politik gerilimlerin arttığı dönemlerde siber casusluk faaliyetlerine hız veren grup, bu kez tespit edilmesi oldukça zor olan yeni bir arka kapı (backdoor) yazılımıyla karşımızda: UDPGangster.
Bu operasyonun amacı sistemi çökertmek değil; “Sessizce içeride kalmak, veri sızdırmak ve devlet kurumları/özel sektör arasındaki iletişimi dinlemektir.”
🔍 Saldırı Zinciri: Eski Yöntem, Yeni Teknoloji
MuddyWater, kurbanlarını avlamak için klasik ama hala etkili olan “Oltalama” (Phishing) yöntemini kullanıyor, ancak arka planda çalışan teknoloji oldukça yenilikçi.
1. Kanca: Makrolu Dosyalar
Saldırı, genellikle devlet kurumlarından veya iş ortaklarından gelmiş gibi görünen sahte e-postalarla başlıyor. Ekteki Word veya Excel dosyasını açıp “İçeriği Etkinleştir” (Enable Content) dediğiniz anda zararlı makro çalışıyor.
2. Sızma: Kayıt Defteri Oyunu
Makro, bilgisayarın Kayıt Defterine (Registry) zararlı kodlar ekleyerek kalıcılık sağlıyor. Bilgisayar yeniden başlatılsa bile zararlı yazılım çalışmaya devam ediyor.
3. Farklılaşma: Neden “UDP” Gangster?
İşte işin korkutucu kısmı burası. Çoğu zararlı yazılım, Komuta Kontrol (C2) sunucusuyla iletişim kurmak için HTTP/HTTPS (TCP) protokollerini kullanır. Güvenlik duvarları bu trafiği sıkı denetler.
Ancak UDPGangster, adından da anlaşılacağı üzere iletişim için UDP (User Datagram Protocol) kullanıyor.
-
Neden Tehlikeli? Kurumsal güvenlik duvarları, DNS sorguları veya ses/video trafiği (VoIP) için kullanılan UDP trafiğine genellikle daha “hoşgörülü” davranır ve derinlemesine incelemez.
-
Sonuç: Saldırganlar bu “gürültünün” arasına gizlenerek veri kaçırır ve komut alır.
🛠️ Teknik Özet
| Kategori | Detaylar |
|---|---|
| Tehdit Grubu | MuddyWater (İran Destekli / MOIS) |
| Hedef Ülkeler | Türkiye 🇹🇷, Azerbaycan 🇦🇿 |
| Zararlı Yazılım | UDPGangster (Backdoor) |
| Saldırı Vektörü | Malicious Macros (VBA) -> Registry Persistence |
| Gizlenme Yöntemi | Standart dışı UDP C2 İletişimi |
🛡️ Nasıl Korunuruz?
Bu saldırı “görünmez” olmaya çalışsa da, doğru yapılandırmayla tespit edilebilir.
-
Makroları Engelleyin: Kurum genelinde, güvenilmeyen kaynaklardan gelen Office dosyalarındaki makroların çalışmasını Grup İlkesi (GPO) ile tamamen engelleyin. Bu, saldırıyı daha başlamadan bitirir.
-
UDP Trafiğini İzleyin: Güvenlik duvarınızda (Firewall/SIEM), bilinmeyen dış IP adreslerine doğru giden, özellikle DNS (Port 53) dışındaki anlamsız UDP trafiğini izlemeye alın.
-
Kayıt Defteri Takibi (EDR): Run veya RunOnce anahtarlarına yapılan şüpheli eklemeleri izleyen EDR kurallarınızı sıkılaştırın.
-
Farkındalık Eğitimi: Personelinizi, “Fatura”, “Duruşma Tutanağı” veya “Bakanlık Duyurusu” gibi görünen oltalama e-postalarına karşı uyarın.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
