國家支持的伊朗 APT 襲擊土耳其的目標
據 Cisco Talos 的安全情報研究人員稱,一個在伊朗境外開展活動的高級持續性威脅組織一直針對位於土耳其的私人和政府組織。
有問題的 APT 有多個別名,包括 MuddyWater、Mercury 和 Static Kitten,據信與伊朗情報和安全部有聯繫。威脅行為者已經受到安全研究人員的關注大約四年了,並且已經取消了過去針對美國、歐洲和中東國家實體的攻擊。
MuddyWater APT 與伊朗政府有關
美國國防部下屬的美國網絡司令部最近將威脅行為者與伊朗當局聯繫起來,稱該組織為中東國家政府進行“情報活動”。
據研究人員稱,MuddyWater 發起的最後一次活動是在 2021 年最後幾個月發起的,並使用帶有惡意軟件的 PDF 文件作為其早期攻擊媒介。該活動使用帶有惡意軟件的 PDF 附件的網絡釣魚郵件。這些電子郵件欺騙了土耳其政府的官方組織和地址,包括土耳其衛生部和內政部。
惡意 PDF 包含嵌入的 Visual Basic 宏,旨在在受害者係統上運行 PowerShell 腳本。 PowerShell 命令將運行一個下載器,該下載器賦予黑客代碼執行能力,並允許他們通過註冊表值編輯來實現持久性。
網絡間諜和數據洩露
一旦伊朗 APT 在受害者係統上站穩腳跟,它就會收集與有價值的知識產權相關的數據並進行網絡間諜活動。此外,APT 會在受害系統上安裝和執行勒索軟件,但更多是為了擦除受害網絡和擦除軌跡,而不是收集贖金。
MuddyWater APT 也一直在使用金絲雀令牌來跟踪文件何時被訪問。這阻止了 Talos 保護這些最新攻擊中使用的最終有效負載,因為 C2 服務器運行的驗證檢查破壞了這些嘗試。