TECHNEIRO

TECHNEIRO
Siber Güvenlik

MuddyWater’ın Yeni Silahı: UDPGangster Arka Kapısı Türkiye’yi Hedef Alıyor

ibrahim0

İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğu bilinen ve siber casusluk dünyasının en agresif oyuncularından biri olan MuddyWater, tespit edilmesi son derece zor olan yeni bir kötü amaçlı yazılım (malware) ile geri döndü. Sektörden gelen son güvenlik raporlarına göre, “UDPGangster” olarak adlandırılan bu yeni arka kapı (backdoor), geleneksel ağ savunma mekanizmalarını atlatmak için HTTP yerine UDP protokolünü kullanıyor.

Özellikle Türkiye, İsrail ve Azerbaycan’daki kurumları hedef alan bu kampanya, saldırganların yöntemlerinde ciddi bir evrim geçirdiğini gösteriyor. İşte Techneiro olarak detaylarına indiğimiz teknik analiz.

Saldırı Vektörü ve “Seminer” Tuzağı

Ortaya çıkan belgelere göre saldırı, son derece hedef odaklı “spear-phishing” (zıpkınla avlama) e-postalarıyla başlıyor. Saldırganlar, Kuzey Kıbrıs Türk Cumhuriyeti Dışişleri Bakanlığı’nı taklit ederek, kurbanlarına “Cumhurbaşkanlığı Seçimleri ve Sonuçları” başlıklı sahte bir çevrimiçi seminere davet gönderiyor.

E-posta ekinde yer alan seminer.zip dosyası, içinde seminer.doc isimli kötü amaçlı bir Word belgesi barındırıyor. Kullanıcı bu belgeyi açıp makroları etkinleştirdiğinde, gömülü VBA kodu devreye giriyor ve sistem enfekte oluyor.

Teknik Analiz: UDPGangster Nasıl Çalışıyor?

Geleneksel zararlı yazılımlar Komuta ve Kontrol (C2) sunucularıyla iletişim kurmak için genellikle HTTP veya HTTPS protokollerini kullanır. Ancak UDPGangster, adından da anlaşılacağı üzere UDP protokolünü tercih ederek standart güvenlik duvarı kurallarının ve web trafiği izleme araçlarının (WAF) dikkatinden kaçmayı başarıyor.

Güvenlik araştırmacılarının analizlerine göre zararlının teknik davranış haritası şu şekildedir:

  1. Kurulum ve Kalıcılık:
    • Zararlı yazılım kendini %AppData%\RoamingLow dizinine SystemProc.exe adıyla kopyalıyor.
    • Başlangıçta (Startup) otomatik çalışmak için Windows Kayıt Defteri’nde (Registry) şu yolu değiştiriyor: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders.
  2. C2 İletişimi:
    • Zararlı, saldırganların sunucusuyla iletişim kurmak için UDP 1269 portunu kullanıyor.
    • Tespit edilen C2 IP adresi: 157.20.182.75.
    • Bu kanaldan sistem bilgileri (bilgisayar adı, işletim sistemi versiyonu vb.) şifrelenmiş olarak gönderiliyor.

Anti-Analiz Yetenekleri: Kendini Gizleme Sanatı

UDPGangster, basit bir truva atı değil; siber güvenlik uzmanları veya otomatik analiz sistemleri (Sandbox) tarafından incelendiğini anlarsa çalışmayı durduruyor. Yazılımın çalışmadan önce yaptığı kontroller şunlar:

  • Debugger Tespiti: Sistemin bir hata ayıklayıcı (debugger) tarafından izlenip izlenmediğini kontrol eder.
  • CPU Kontrolü: Tek çekirdekli işlemci yapılandırmalarını (genellikle sanal makinelerde bulunur) tarar.
  • RAM Limiti: Sistemin 2048 MB (2GB)’dan az RAM’e sahip olup olmadığına bakar.
  • MAC Adresi Analizi: Ağ adaptörünün MAC adresini tarayarak VMware, VirtualBox, Xen veya Parallels gibi bilinen sanallaştırma sağlayıcılarına ait olup olmadığını doğrular.
  • Dosya ve İşlem Taraması: VBoxService.exe, vmware.exe, sbiedll.dll gibi sanal makine veya sandbox araçlarına ait süreçleri arar.

Eğer bu kontrollerden herhangi biri “analiz ortamı” sinyali verirse, zararlı yazılım kendini pasif moda alıyor ve saldırıyı başlatmıyor.

Çalınan Veriler ve Yetenekler

UDPGangster sisteme yerleştikten sonra saldırganlara tam uzaktan kontrol yetkisi veriyor. Bu yetkiler şunları kapsıyor:

  • cmd.exe üzerinden komut çalıştırma.
  • Dosya indirme ve sisteme yeni dosya yükleme.
  • Ek zararlı yüklerin (payload) dağıtımı.
  • C2 sunucu adresinin uzaktan güncellenmesi.

Techneiro Analizi

Techneiro olarak bu gelişmeyi analiz ettiğimizde, MuddyWater grubunun teknik kapasitesini artırdığını ve özellikle “görünmezlik” üzerine yoğunlaştığını görüyoruz. HTTP/HTTPS yerine UDP port 1269’un kullanılması, çoğu kurumsal ağda HTTP trafiğine odaklanan Güvenlik Operasyon Merkezleri (SOC) için bir kör nokta yaratabilir.

Saldırının Türkiye ve KKTC temalı içeriklerle (Dışişleri Bakanlığı, Seçim Semineri vb.) kurgulanması, hedefin rastgele kullanıcılar değil, devlet kurumları ve stratejik personel olduğunu açıkça gösteriyor. Bu bir “dağıt ve dua et” (spray and pray) saldırısı değil, cerrahi bir casusluk operasyonudur.

Kurumların acilen UDP trafiğini izlemeye almaları ve özellikle makro içeren Office belgelerine karşı “varsayılan olarak engelleme” politikalarını sıkılaştırmaları gerekiyor. 2GB RAM kontrolü veya tek çekirdek kontrolü gibi basit anti-analiz yöntemleri, modern sandbox sistemlerinin “donanım simülasyonu” (hardware simulation) yeteneklerini artırması gerektiğini de ortaya koyuyor.

Teknoloji dünyasındaki en son yenilikleri ve özel incelemeleri kaçırmamak için Techneiro.com‘u takipte kalın.

İlgili Gönderiler

App Store’da 11.2 Milyar Dolarlık Dolandırıcılık Engellendi

ibrahim

Google Takvim Tuzağı: Hackerlar, Gemini’yi Ele Geçirerek Verilerinizi Sızdırabilir!

ibrahim

Dikkat: Apple Pay “İşlem Engellendi” Mesajı Bir Tuzak

ibrahim

Bir Yorum Bırakın

Bir sonraki yorumumda kullanılmak üzere adımın, e-posta adresimin ve internet sitemin bu tarayıcıda kaydedilmesini sağla.