Statsstödda iranska APT attackerar mål i Turkiet

Enligt säkerhetsunderrättelseforskare med Cisco Talos har en avancerad grupp av ihållande hot som verkar från Iran riktat sig mot både privata och statliga organisationer i Turkiet.

APT i fråga är känd under ett antal alias, inklusive MuddyWater, Mercury och Static Kitten och tros ha kopplingar till det iranska underrättelse- och säkerhetsministeriet. Hotaktören har varit på radarn för säkerhetsforskare i cirka fyra år nu och har dragit igång tidigare attacker mot enheter i USA, Europa och länder i Mellanöstern.

MuddyWater APT kopplat till iranska staten

USA:s cyberkommando, en enhet inom det amerikanska försvarsdepartementet, kopplade nyligen hotaktören till de iranska myndigheterna och sa att gruppen bedriver "underrättelseverksamhet" för landets regering i Mellanöstern.

Enligt forskare lanserades den sista kampanjen som drivs av MuddyWater under de sista månaderna av 2021 och använde PDF-filer med skadlig kod som sin tidiga attackvektor. Kampanjen använde nätfiskepost med bifogade PDF-filer med skadlig programvara. E-postmeddelandena förfalskade officiella turkiska regeringsorganisationer och adresser, inklusive de turkiska hälso- och inrikesministerierna.

De skadliga PDF-filerna innehöll inbäddade Visual Basic-makron konstruerade för att köra PowerShell-skript på offrets system. PowerShell-kommandona skulle köra en nedladdare som ger hackarna kodexekveringsbefogenheter och låter dem uppnå uthållighet genom redigeringar av registervärde.

Cyberspionage och dataexfiltrering

När den iranska APT väl skulle få fotfäste på ett offersystem skulle den samla in data relaterade till värdefulla immateriella rättigheter och bedriva cyberspionage. Dessutom skulle APT installera och köra lösenprogram på offrets system, men mer i ett försök att radera offrets nätverk och radera spår än att samla in en lösensumma.

MuddyWater APT har också använt kanariefågel för att spåra när en fil har nåtts. Detta hindrade Talos från att säkra den slutliga nyttolasten som användes i de senaste attackerna, eftersom C2-servern körde verifieringskontroller som störde dessa försök.

February 1, 2022
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.