Η υποστηριζόμενη από το κράτος ιρανική APT επιτίθεται σε στόχους στην Τουρκία

Σύμφωνα με ερευνητές πληροφοριών ασφαλείας της Cisco Talos, μια προηγμένη ομάδα επίμονων απειλών που δρα έξω από το Ιράν στοχεύει τόσο ιδιωτικούς όσο και κυβερνητικούς οργανισμούς που βρίσκονται στην Τουρκία.

Το εν λόγω APT είναι γνωστό με διάφορα ψευδώνυμα, συμπεριλαμβανομένων των MuddyWater, Mercury και Static Kitten και πιστεύεται ότι έχει δεσμούς με το ιρανικό Υπουργείο Πληροφοριών και Ασφάλειας. Ο παράγοντας της απειλής βρίσκεται στο ραντάρ των ερευνητών ασφαλείας εδώ και περίπου τέσσερα χρόνια και έχει πραγματοποιήσει προηγούμενες επιθέσεις με στόχο οντότητες στις ΗΠΑ, την Ευρώπη και τις χώρες της Μέσης Ανατολής.

Το MuddyWater APT συνδέεται με το ιρανικό κράτος

Η Διοίκηση Κυβερνοχώρου των Ηνωμένων Πολιτειών, μονάδα του Υπουργείου Άμυνας των ΗΠΑ, συνέδεσε πρόσφατα τον παράγοντα της απειλής με τις ιρανικές αρχές, λέγοντας ότι η ομάδα διεξάγει «δραστηριότητες πληροφοριών» για την κυβέρνηση της χώρας της Μέσης Ανατολής.

Σύμφωνα με ερευνητές, η τελευταία καμπάνια που διεξήγαγε η MuddyWater ξεκίνησε τους τελευταίους δύο μήνες του 2021 και χρησιμοποίησε αρχεία PDF με κακόβουλο λογισμικό ως πρώιμο φορέα επίθεσης. Η καμπάνια χρησιμοποίησε αλληλογραφία ηλεκτρονικού ψαρέματος με συνημμένα αρχεία PDF με κακόβουλο λογισμικό. Τα μηνύματα ηλεκτρονικού ταχυδρομείου παραπλανούσαν επίσημους τουρκικούς κυβερνητικούς οργανισμούς και διευθύνσεις, συμπεριλαμβανομένων των τουρκικών υπουργείων Υγείας και Εσωτερικών.

Τα κακόβουλα αρχεία PDF περιείχαν ενσωματωμένες μακροεντολές της Visual Basic που είχαν σχεδιαστεί για να εκτελούν σενάρια PowerShell στο σύστημα θύματος. Οι εντολές του PowerShell θα εκτελούσαν ένα πρόγραμμα λήψης που δίνει στους χάκερ εξουσίες εκτέλεσης κώδικα και τους επιτρέπει να επιτύχουν επιμονή μέσω τροποποιήσεων τιμών μητρώου.

Κυβερνοκατασκοπεία και Διήθηση Δεδομένων

Μόλις το ιρανικό APT αποκτήσει βάση σε ένα σύστημα θυμάτων, θα συλλέγει δεδομένα σχετικά με την πολύτιμη πνευματική ιδιοκτησία και θα διεξάγει κυβερνοκατασκοπεία. Επιπλέον, το APT θα εγκαθιστά και θα εκτελεί ransomware στα συστήματα των θυμάτων, αλλά περισσότερο σε μια προσπάθεια να σκουπίσει τα δίκτυα των θυμάτων και να διαγράψει ίχνη παρά να συγκεντρώσει λύτρα.

Το MuddyWater APT χρησιμοποιεί επίσης κουπόνια καναρινιών για να παρακολουθεί πότε έγινε πρόσβαση σε ένα αρχείο. Αυτό εμπόδισε την Talos να εξασφαλίσει το τελικό ωφέλιμο φορτίο που χρησιμοποιήθηκε σε αυτές τις τελευταίες επιθέσεις, καθώς ο διακομιστής C2 διεξήγαγε ελέγχους επαλήθευσης που διέκοψαν αυτές τις προσπάθειες.