Statsstøttede iranske APT angriber mål i Tyrkiet

Ifølge sikkerhedsefterretningsforskere med Cisco Talos har en avanceret vedvarende trusselgruppe, der opererer fra Iran, været rettet mod både private og statslige organisationer i Tyrkiet.

Den pågældende APT er kendt under en række aliaser, herunder MuddyWater, Mercury og Static Kitten og menes at have forbindelser til det iranske ministerium for efterretning og sikkerhed. Trusselsaktøren har været på radaren af sikkerhedsforskere i omkring fire år nu og har trukket tidligere angreb rettet mod enheder i USA, Europa og mellemøstlige lande.

MuddyWater APT knyttet til iransk stat

Den amerikanske cyberkommando, en enhed i det amerikanske forsvarsministerium, har for nylig knyttet trusselsaktøren til de iranske myndigheder og sagde, at gruppen udfører "efterretningsaktiviteter" for det mellemøstlige lands regering.

Ifølge forskere blev den sidste kampagne, der blev drevet af MuddyWater, lanceret i de sidste par måneder af 2021 og brugte PDF-filer med malware som sin tidlige angrebsvektor. Kampagnen brugte phishing-mail med de malwarefyldte PDF'er vedhæftet. E-mails var spoofing af officielle tyrkiske regeringsorganisationer og adresser, herunder de tyrkiske sundheds- og indenrigsministerier.

De ondsindede PDF'er indeholdt indlejrede Visual Basic-makroer, der var udviklet til at køre PowerShell-scripts på offersystemet. PowerShell-kommandoerne ville køre en downloader, der giver hackerne beføjelser til at udføre kode og giver dem mulighed for at opnå vedholdenhed gennem redigering af registreringsværdier.

Cyberspionage og dataeksfiltrering

Når først den iranske APT ville få fodfæste på et offersystem, ville den indsamle data relateret til værdifuld intellektuel ejendom og udføre cyberspionage. Derudover ville APT installere og udføre ransomware på offerets systemer, men mere i et forsøg på at slette ofrets netværk og slette spor end for at indsamle en løsesum.

MuddyWater APT har også brugt kanariske tokens til at spore, hvornår en fil er blevet tilgået. Dette forhindrede Talos i at sikre den endelige nyttelast, der blev brugt i de seneste angreb, da C2-serveren kørte verifikationstjek, der forstyrrede disse forsøg.