Valstybės remiamas Irano APT atakuoja taikinius Turkijoje
Pasak „Cisco Talos“ saugumo žvalgybos tyrėjų, pažangi nuolatinių grėsmių grupė, veikianti iš Irano, nusitaikė ir į privačias, ir į vyriausybines organizacijas, esančias Turkijoje.
Aptariamas APT žinomas daugeliu slapyvardžių, įskaitant MuddyWater, Mercury ir Static Kitten, ir manoma, kad jis turi ryšių su Irano žvalgybos ir saugumo ministerija. Šis grėsmių veikėjas jau maždaug ketverius metus buvo saugomas tyrėjų akiratyje ir atrėmė ankstesnes atakas, nukreiptas prieš subjektus JAV, Europoje ir Artimųjų Rytų šalyse.
MuddyWater APT Susijęs su Irano valstybe
JAV Gynybos departamento padalinys Jungtinių Valstijų kibernetinė vadovybė neseniai susiejo grėsmės veikėją su Irano valdžia, teigdama, kad grupuotė vykdo „žvalgybos veiklą“ Artimųjų Rytų šalies vyriausybei.
Pasak tyrėjų, paskutinė MuddyWater vykdoma kampanija buvo pradėta per pastaruosius porą 2021 m. mėnesių, o jos pradžioje buvo naudojami kenkėjiškų programų PDF failai. Kampanijoje buvo naudojamas sukčiavimo paštas su pridėtais PDF failais, kuriuose yra kenkėjiškų programų. El. laiškais buvo klastojami oficialių Turkijos vyriausybinių organizacijų ir adresai, įskaitant Turkijos sveikatos ir vidaus reikalų ministerijas.
Kenkėjiškuose PDF rinkmenose buvo įterptų „Visual Basic“ makrokomandų, sukurtų paleisti „PowerShell“ scenarijus nukentėjusioje sistemoje. „PowerShell“ komandos paleistų atsisiuntimo programą, kuri suteikia įsilaužėliams kodo vykdymo galias ir leidžia jiems pasiekti atkaklumo taisant registro vertes.
Kibernetinis šnipinėjimas ir duomenų išfiltravimas
Kai Irano APT įsitvirtins aukų sistemoje, ji rinks duomenis, susijusius su vertinga intelektine nuosavybe, ir vykdys kibernetinį šnipinėjimą. Be to, APT įdiegtų ir vykdytų išpirkos reikalaujančias programas aukų sistemose, bet labiau stengdamasis išvalyti aukų tinklus ir ištrinti pėdsakus, nei rinkti išpirką.
MuddyWater APT taip pat naudojo kanarėlių žetonus, kad galėtų sekti, kada buvo pasiektas failas. Tai neleido Talos apsaugoti galutinės naudingosios apkrovos, naudotos tose paskutinėse atakose, nes C2 serveris atliko patvirtinimo patikras, kurios sutrikdė šiuos bandymus.