Macros are consisted of instructions and
commands mainly used to automate tasks, embed functionality and provide
customization of Microsoft Office documents. However, they have been exploited
by malicious hackers by creating malware since they were introduced. Recently, Advanced Persistent Threat (APT) Groups have
generally used macros as attack vectors as well. Since 2017, Middle Eastern countries’
governmental institutions, and strategically important oil, telecommunication
and energy companies have been targeted by the APT Group probably affiliated with
Iran, and the group is named as MuddyWater by analysts due to the techniques
they utilized to cover their tracks. The group has generally conducted attacks via
macro malware. In this work, we aimed to raise awareness regarding MuddyWater
APT Group and provide a detailed methodology for analyzing macro malware. The attributions,
strategy, attack vectors, and the infection chain of MuddyWater APT Group have
been explained. In addition, a malicious document, targeting Turkey and Qatar,
detected first on 27 November 2018 have been analyzed, findings and proposals have
been presented for cybersecurity
professionals.
Microsoft Office belgelerinin özelleştirilmesini
ve sık kullanılan görevlerin otomasyonunu sağlayan makrolar uzun süredir kötü
niyetli kişilerce zararlı yazılım üretiminde kullanılmaktadır. Son yıllarda
ileri düzey kalıcı tehdit gruplarınca da makro zararlı yazılımının atak
vektörlerinde kullanıldığı bilinmektedir. 2017 yılından beri Ortadoğu
ülkelerinin kamu kurumlarını ve enerji, telekomünikasyon, petrol gibi stratejik
alanlarda faaliyet gösteren şirketleri hedef alan, analistler tarafından kendilerini
gizleme eğilimleri nedeniyle MuddyWater olarak adlandırılan ve İran ile
ilişkilendirilen grup da makro zararlı yazılımı kullanmakta ve Türkiye de dahil
olmak üzere bölge ülkelerinde eylemlerini sürdürmektedir. Bu çalışmamızın temel amacı MuddyWater ileri
düzey kalıcı tehdit grubu ile ilgili farkındalığı arttırmak ve örnek bir makro zararlı
yazılım analizi metodolojisi sunmaktır. Bu kapsamda, MuddyWater grubunun
özellikleri, eylem stratejisi, atak vektörleri ve bulaşma zincirine yönelik
elde edilen bilgiler paylaşılmıştır, ayrıca ilk defa 27 Kasım 2018’de
uzmanlarca tespit edilmiş, Türkiye ve Katar’ı hedef aldığı değerlendirilen bir
zararlı dokümanın ayrıntılı analizi yapılmış, bulgular ve öneriler sunulmuştur.
Makro Zararlı Yazılımı MuddyWater İleri Düzey Kalıcı Tehdit Zararlı Yazılım Analizi Adli Bilişim
Primary Language | English |
---|---|
Subjects | Computer Software |
Journal Section | Articles |
Authors | |
Publication Date | July 31, 2019 |
Submission Date | January 14, 2019 |
Published in Issue | Year 2019 Volume: 12 Issue: 3 |