国家支持的伊朗 APT 袭击土耳其的目标

据 Cisco Talos 的安全情报研究人员称,一个在伊朗境外开展活动的高级持续性威胁组织一直针对位于土耳其的私人和政府组织。

有问题的 APT 有多个别名,包括 MuddyWater、Mercury 和 Static Kitten,据信与伊朗情报和安全部有联系。威胁行为者已经受到安全研究人员的关注大约四年了,并且已经取消了过去针对美国、欧洲和中东国家实体的攻击。

MuddyWater APT 与伊朗政府有关

美国国防部下属的美国网络司令部最近将威胁行为者与伊朗当局联系起来,称该组织为中东国家政府进行“情报活动”。

据研究人员称,MuddyWater 的最后一次活动是在 2021 年最后几个月发起的,并使用带有恶意软件的 PDF 文件作为其早期攻击媒介。该活动使用带有恶意软件的 PDF 附件的网络钓鱼邮件。这些电子邮件欺骗了土耳其政府的官方组织和地址,包括土耳其卫生部和内政部。

恶意 PDF 包含嵌入的 Visual Basic 宏,旨在在受害者系统上运行 PowerShell 脚本。 PowerShell 命令将运行一个下载程序,该下载程序赋予黑客代码执行能力,并允许他们通过注册表值编辑来实现持久性。

网络间谍和数据泄露

一旦伊朗 APT 在受害者系统上站稳脚跟,它就会收集与有价值的知识产权相关的数据并进行网络间谍活动。此外,APT 会在受害系统上安装和执行勒索软件,但更多是为了擦除受害网络和擦除轨迹,而不是收集赎金。

MuddyWater APT 也一直在使用金丝雀令牌来跟踪文件何时被访问。这阻止了 Talos 保护这些最新攻击中使用的最终有效负载,因为 C2 服务器运行的验证检查破坏了这些尝试。

February 1, 2022
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。