Wspierane przez państwo irańskie ataki APT na cele w Turcji
Według badaczy wywiadu bezpieczeństwa z Cisco Talos, zaawansowana grupa utrzymujących się zagrożeń działająca poza Iranem atakuje zarówno prywatne, jak i rządowe organizacje zlokalizowane w Turcji.
APT, o którym mowa, jest znany pod wieloma pseudonimami, w tym MuddyWater, Mercury i Static Kitten, i uważa się, że ma powiązania z irańskim Ministerstwem Wywiadu i Bezpieczeństwa. Aktor zagrożeń był na radarze badaczy bezpieczeństwa od około czterech lat i przeprowadził wcześniejsze ataki wymierzone w podmioty w Stanach Zjednoczonych, Europie i krajach Bliskiego Wschodu.
MuddyWater APT powiązany z państwem irańskim
Amerykańskie dowództwo cybernetyczne, jednostka Departamentu Obrony USA, połączyło niedawno cyberprzestępcę z władzami Iranu, mówiąc, że grupa prowadzi „działania wywiadowcze” dla rządu tego kraju na Bliskim Wschodzie.
Według badaczy ostatnia kampania MuddyWater została uruchomiona w ciągu ostatnich kilku miesięcy 2021 r. i wykorzystywała pliki PDF zawierające złośliwe oprogramowanie jako wczesny wektor ataku. Kampania wykorzystywała pocztę phishingową z załączonymi plikami PDF wyładowanymi złośliwym oprogramowaniem. E-maile fałszowały oficjalne tureckie organizacje rządowe i adresy, w tym tureckie ministerstwa zdrowia i spraw wewnętrznych.
Złośliwe pliki PDF zawierały wbudowane makra Visual Basic zaprojektowane do uruchamiania skryptów PowerShell w zaatakowanym systemie. Polecenia PowerShell uruchamiają downloader, który daje hakerom uprawnienia do wykonywania kodu i pozwala im osiągnąć trwałość poprzez edycję wartości rejestru.
Cyberszpiegostwo i eksfiltracja danych
Gdy irański APT zdobędzie przyczółek w systemie ofiary, będzie gromadził dane związane z cenną własnością intelektualną i prowadzi cyberszpiegostwo. Ponadto APT instalował i uruchamiał oprogramowanie ransomware w systemach ofiar, ale bardziej starał się wyczyścić sieci ofiary i wymazać ślady niż zebrać okup.
MuddyWater APT również używa tokenów kanarkowych do śledzenia dostępu do pliku. Uniemożliwiło to Talosowi zabezpieczenie ostatecznego ładunku użytego w tych ostatnich atakach, ponieważ serwer C2 przeprowadził weryfikację, która zakłóciła te próby.