APT iraniano sostenuto dallo stato attacca obiettivi in Turchia
Secondo i ricercatori di intelligence sulla sicurezza di Cisco Talos, un gruppo avanzato di minacce persistenti che opera fuori dall'Iran ha preso di mira organizzazioni private e governative con sede in Turchia.
L'APT in questione è noto con diversi pseudonimi, tra cui MuddyWater, Mercury e Static Kitten e si ritiene che abbia legami con il Ministero dell'intelligence e della sicurezza iraniano. L'attore delle minacce è nel radar dei ricercatori di sicurezza da circa quattro anni e ha portato a termine attacchi passati contro entità negli Stati Uniti, in Europa e nei paesi del Medio Oriente.
MuddyWater APT collegato allo Stato iraniano
Il Cyber Command degli Stati Uniti, un'unità del Dipartimento della Difesa degli Stati Uniti, ha recentemente collegato l'attore della minaccia alle autorità iraniane, affermando che il gruppo conduce "attività di intelligence" per il governo del paese mediorientale.
Secondo i ricercatori, l'ultima campagna condotta da MuddyWater è stata lanciata negli ultimi due mesi del 2021 e ha utilizzato file PDF legati a malware come primo vettore di attacco. La campagna ha utilizzato la posta di phishing con allegati PDF carichi di malware. Le e-mail stavano falsificando organizzazioni e indirizzi ufficiali del governo turco, inclusi i ministeri della salute e degli affari interni turchi.
I PDF dannosi contenevano macro di Visual Basic integrate progettate per eseguire script PowerShell sul sistema vittima. I comandi di PowerShell eseguirebbero un downloader che fornisce agli hacker poteri di esecuzione del codice e consente loro di ottenere la persistenza attraverso le modifiche al valore del registro.
Cyberspionaggio ed esfiltrazione di dati
Una volta che l'APT iraniano avesse preso piede nel sistema delle vittime, avrebbe raccolto dati relativi a preziose proprietà intellettuali e condotto spionaggio informatico. Inoltre, l'APT installerebbe ed eseguirà ransomware sui sistemi delle vittime, ma più nel tentativo di cancellare le reti delle vittime e cancellare le tracce che per raccogliere un riscatto.
L'APT MuddyWater ha anche utilizzato i token canary per tenere traccia di quando è stato effettuato l'accesso a un file. Ciò ha impedito a Talos di proteggere il carico utile finale utilizzato in quegli ultimi attacchi, poiché il server C2 ha eseguito controlli di verifica che hanno interrotto quei tentativi.