国家支持的伊朗 APT 袭击土耳其的目标
据 Cisco Talos 的安全情报研究人员称,一个在伊朗境外开展活动的高级持续性威胁组织一直针对位于土耳其的私人和政府组织。
有问题的 APT 有多个别名,包括 MuddyWater、Mercury 和 Static Kitten,据信与伊朗情报和安全部有联系。威胁行为者已经受到安全研究人员的关注大约四年了,并且已经取消了过去针对美国、欧洲和中东国家实体的攻击。
MuddyWater APT 与伊朗政府有关
美国国防部下属的美国网络司令部最近将威胁行为者与伊朗当局联系起来,称该组织为中东国家政府进行“情报活动”。
据研究人员称,MuddyWater 的最后一次活动是在 2021 年最后几个月发起的,并使用带有恶意软件的 PDF 文件作为其早期攻击媒介。该活动使用带有恶意软件的 PDF 附件的网络钓鱼邮件。这些电子邮件欺骗了土耳其政府的官方组织和地址,包括土耳其卫生部和内政部。
恶意 PDF 包含嵌入的 Visual Basic 宏,旨在在受害者系统上运行 PowerShell 脚本。 PowerShell 命令将运行一个下载程序,该下载程序赋予黑客代码执行能力,并允许他们通过注册表值编辑来实现持久性。
网络间谍和数据泄露
一旦伊朗 APT 在受害者系统上站稳脚跟,它就会收集与有价值的知识产权相关的数据并进行网络间谍活动。此外,APT 会在受害系统上安装和执行勒索软件,但更多是为了擦除受害网络和擦除轨迹,而不是收集赎金。
MuddyWater APT 也一直在使用金丝雀令牌来跟踪文件何时被访问。这阻止了 Talos 保护这些最新攻击中使用的最终有效负载,因为 C2 服务器运行的验证检查破坏了这些尝试。