Az állam által támogatott iráni APT célpontokat támad Törökországban
A Cisco Talos biztonsági hírszerzési kutatói szerint egy Iránból működő fejlett, tartós fenyegetettségi csoport Törökországban található magán- és kormányzati szervezeteket egyaránt célba vette.
A szóban forgó APT számos álnéven ismert, köztük MuddyWater, Mercury és Static Kitten, és vélhetően kapcsolatban áll az iráni hírszerzési és biztonsági minisztériummal. A fenyegetettség szereplője már körülbelül négy éve a biztonsági kutatók látóterében van, és a múltban végrehajtott támadásokat az Egyesült Államokban, Európában és a közel-keleti országokban.
MuddyWater APT Irán államhoz kapcsolódik
Az Egyesült Államok Kiberparancsnoksága, az Egyesült Államok Védelmi Minisztériumának egyik egysége a közelmúltban az iráni hatóságokkal hozta kapcsolatba a fenyegetettséget, mondván, hogy a csoport "hírszerző tevékenységet" végez a közel-keleti ország kormánya számára.
A kutatók szerint a MuddyWater legutóbbi kampánya 2021 utolsó néhány hónapjában indult, és rosszindulatú programokkal tarkított PDF-fájlokat használt a támadás korai vektoraként. A kampány adathalász leveleket használt, amelyekhez csatolták a rosszindulatú programokkal teli PDF-eket. Az e-mailek hivatalos török kormányzati szervezeteket és címeket hamisítottak, köztük a török egészségügyi és belügyminisztériumot.
A rosszindulatú PDF-ek beágyazott Visual Basic makrókat tartalmaztak, amelyeket PowerShell-szkriptek futtatására terveztek az áldozat rendszeren. A PowerShell-parancsok egy letöltőt futtatnának, amely kódvégrehajtási jogosítványokat ad a hackereknek, és lehetővé teszi számukra, hogy a rendszerleíróadatbázis-értékek szerkesztésével állandóságot érjenek el.
Kiberkémkedés és adatszivárgás
Amint az iráni APT megveti a lábát egy áldozati rendszerben, értékes szellemi tulajdonnal kapcsolatos adatokat gyűjtene, és kiberkémkedést folytatna. Ezenkívül az APT ransomware-t telepít és hajt végre az áldozatrendszereken, de inkább az áldozathálózatok törlésére és a nyomok törlésére törekszik, semmint váltságdíj beszedésére.
A MuddyWater APT kanári tokeneket is használ a fájl elérésének nyomon követésére. Ez megakadályozta, hogy a Talos biztosítsa a legutóbbi támadásokban használt végső hasznos terhelést, mivel a C2-kiszolgáló ellenőrzéseket futtatott, amelyek megzavarták ezeket a kísérleteket.