トルコの国家支援イランAPT攻撃ターゲット
Cisco Talosのセキュリティインテリジェンス研究者によると、イランで活動している高度な持続的脅威グループは、トルコにある民間組織と政府組織の両方を標的にしています。
問題のAPTは、MuddyWater、Mercury、Static Kittenなどの多くのエイリアスで知られており、イランの情報セキュリティ省と関係があると考えられています。攻撃者は約4年間セキュリティ研究者の監視下にあり、米国、ヨーロッパ、および中東諸国のエンティティを標的とした過去の攻撃を阻止してきました。
イラン国家にリンクされたMuddyWaterAPT
米国国防総省の一部門である米国サイバー軍は最近、攻撃者をイラン当局に結び付け、同グループは中東の国の政府のために「情報活動」を行っていると述べた。
研究者によると、MuddyWaterが実行した最後のキャンペーンは、2021年の最後の数か月に開始され、マルウェアが混入したPDFファイルを攻撃の初期のベクトルとして使用しました。このキャンペーンでは、マルウェアを含むPDFが添付されたフィッシングメールを使用しました。電子メールは、トルコの保健省や内務省を含む、公式のトルコ政府組織や住所になりすましたものでした。
悪意のあるPDFには、被害者のシステムでPowerShellスクリプトを実行するように設計されたVisualBasicマクロが埋め込まれていました。 PowerShellコマンドは、ハッカーにコード実行能力を与え、レジストリ値の編集を通じて永続性を実現できるダウンローダーを実行します。
サイバースパイとデータの漏えい
イランのAPTが被害者のシステムに足を踏み入れると、貴重な知的財産に関連するデータを収集し、サイバースパイを実行します。さらに、APTは被害者のシステムにランサムウェアをインストールして実行しますが、身代金を収集するよりも、被害者のネットワークをワイプしてトラックを消去するための努力が必要です。
MuddyWater APTは、ファイルがいつアクセスされたかを追跡するためにカナリアトークンも使用しています。これにより、C2サーバーが検証チェックを実行してこれらの試行を中断したため、Talosはこれらの最新の攻撃で使用される最終的なペイロードを保護できませんでした。