Поддерживаемая государством иранская APT атакует цели в Турции

По словам исследователей безопасности из Cisco Talos, передовая группа постоянных угроз, действующая из Ирана, нацелена как на частные, так и на правительственные организации, расположенные в Турции.

Рассматриваемый APT известен под несколькими псевдонимами, включая MuddyWater, Mercury и Static Kitten, и, как полагают, имеет связи с Министерством разведки и безопасности Ирана. Злоумышленник находится в центре внимания исследователей в области безопасности уже около четырех лет и осуществил прошлые атаки на организации в США, Европе и странах Ближнего Востока.

АПП MuddyWater связана с иранским государством

Киберкомандование США, подразделение Министерства обороны США, недавно связало злоумышленника с иранскими властями, заявив, что группа ведет «разведывательную деятельность» для правительства ближневосточной страны.

По словам исследователей, последняя кампания, проведенная MuddyWater, была запущена в последние пару месяцев 2021 года и использовала PDF-файлы с вредоносным ПО в качестве раннего вектора атаки. Кампания использовала фишинговую почту с вложенными файлами PDF с вредоносным ПО. Электронные письма подделывали официальные правительственные организации и адреса Турции, в том числе министерства здравоохранения и внутренних дел Турции.

Вредоносные PDF-файлы содержали встроенные макросы Visual Basic, предназначенные для запуска сценариев PowerShell в системе-жертве. Команды PowerShell будут запускать загрузчик, который дает хакерам полномочия на выполнение кода и позволяет им сохранять устойчивость посредством редактирования значений реестра.

Кибершпионаж и эксфильтрация данных

Как только иранская APT закрепится в системе-жертве, она будет собирать данные, связанные с ценной интеллектуальной собственностью, и заниматься кибершпионажем. Кроме того, APT будет устанавливать и запускать программы-вымогатели на системах-жертвах, но больше для того, чтобы стереть сети жертв и стереть следы, чем для сбора выкупа.

MuddyWater APT также использует канареечные токены для отслеживания доступа к файлу. Это помешало Talos защитить конечную полезную нагрузку, использованную в этих последних атаках, поскольку сервер C2 выполнял проверки, которые сорвали эти попытки.