Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 1. februar 2022 | Emne: Sikkerhed
En statssponsoreret iransk hackergruppe har vendt sig til angreb mod højt profilerede mål i Tyrkiet.
I denne uge sagde cybersikkerhedsforskere fra Cisco Talos, at MuddyWater, en avanceret vedvarende trussel (APT) gruppe med forbindelser til Irans ministerium for efterretning og sikkerhed (MOIS), er blevet forbundet med kampagner mod private organisationer i Tyrkiet sammen med landets regering.
Aktiv siden mindst 2017, MuddyWater, også kendt som Mercury eller Static Kitten, har tidligere været bundet til angreb mod organisationer i USA, Israel, Europa og Mellemøsten.
Tidligere i år knyttede US Cyber Command APT til den iranske regering og sagde, at MuddyWater er en af mange grupper “der udfører iranske efterretningsaktiviteter.”
“MuddyWater er et underordnet element i MOIS,” siger US Cyber Command. “Ifølge Congressional Research Service udfører MOIS” indenlandsk overvågning for at identificere regimets modstandere. Den overvåger også anti-regime aktivister i udlandet gennem sit netværk af agenter placeret i Irans ambassader.””
Ifølge Talos-forskerne Asheer Malhotra og Vitor Ventura bruger den seneste MuddyWater-kampagne, der går tilbage fra november 2021, ondsindede PDF'er og Microsoft Office-dokumenter som en indledende angrebsvektor.
Phishing-e-mails, der indeholder disse ondsindede vedhæftede filer, er forfalsket, så de ser ud til at være fra det tyrkiske sundheds- og indenrigsministerium. Målene omfattede Tyrkiets videnskabelige og teknologiske forskningsråd (Tubitak).
De ondsindede dokumenter indeholdt indlejrede VBA-makroer designet til at udløse et PowerShell-script, hvilket førte til udførelse af en downloader til udførelse af vilkårlig kode, oprettelse af en registreringsnøgle til persistens og brug af Living Off the Land Binaries (LOLBins) til at kapre maskine.
Når MuddyWater først er inde i et målsystem, har MuddyWater en tendens til at fokusere på tre formål: at udføre cyberspionage for statslige interesser; at stjæle intellektuel ejendom med en høj økonomisk værdi og at implementere ransomware for bevidst at forstyrre en offerorganisations operatører eller for at “ødelægge beviser for deres indtrængen,” ifølge Talos.
Forskerne var dog ikke i stand til at sikre den endelige nyttelast i denne kampagne på grund af verifikationstjek på operatørens kommando-og-kontrol-server (C2).
APT har også vedtaget kanariske tokens for at holde styr på deres indtrængen. Kanariske tokens er digitale “kanariefugle”, der advarer om, at en fil er blevet åbnet – og selvom de ofte bruges af forsvarere til at opdage og overvåge potentielle brud, kan cyberangribere også bruge dem til at spore vellykkede infektioner.
“Sporing-tokens kan også bruges som et andet middel til anti-analyse: tidstjek,” siger Talos. “En rimelig tidskontrol af varigheden mellem tokenanmodningerne og anmodningen om at downloade en nyttelast kan indikere automatiseret analyse. […] Sporingstokens kan også være en metode til at opdage blokeringen af nyttelastserveren. Hvis de bliver ved med at modtage anmodninger til tokenet, men ikke til nyttelastserveren, det er en indikation af, at deres nyttelastserver er blokeret, og af hvem.”
En meddelelse udstedt af Trakya og Tyrkiets Nationale Cyber Incident Response Center (USOM) advarer om et angreb på APT-niveau, der er listet IP'er og en e-mailadresse, som også blev afsløret i Talos-analysen af denne kampagne.
Tidligere og relateret dækning
Donot Team APT vil angribe regerings-, militære mål i årevis – indtil de lykkes
Ny avanceret hackergruppe retter sig mod regeringer, ingeniører over hele verden
Kinesisk APT implementerer MoonBounce-implantat i UEFI-firmware
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre