Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi Publicerad i Zero Day den 1 februari 2022 | Ämne: Säkerhet
En statligt sponsrad iransk hackergrupp har vänt sig till attacker mot högprofilerade mål i Turkiet.
Den här veckan sa cybersäkerhetsforskare från Cisco Talos att MuddyWater, en grupp för avancerad ihållande hot (APT) med kopplingar till Irans underrättelse- och säkerhetsministerium (MOIS), har kopplats till kampanjer mot privata organisationer i Turkiet tillsammans med landets regering.
MuddyWater, även känd som Mercury eller Static Kitten, har varit aktiv sedan åtminstone 2017, och har tidigare varit knuten till attacker mot organisationer i USA, Israel, Europa och Mellanöstern.
Tidigare i år kopplade US Cyber Command APT till den iranska regeringen och sa att MuddyWater är en av många grupper som “bedriver iransk underrättelseverksamhet.”
“MuddyWater är ett underordnat element inom MOIS,” säger US Cyber Command. “Enligt Congressional Research Service genomför MOIS inhemsk övervakning för att identifiera regimmotståndare. Den övervakar också regimfientliga aktivister utomlands genom sitt nätverk av agenter placerade i Irans ambassader.”
Enligt Talos-forskarna Asheer Malhotra och Vitor Ventura använder den senaste MuddyWater-kampanjen, från november 2021, skadliga PDF-filer och Microsoft Office-dokument som en initial attackvektor.
Nätfiske-e-postmeddelanden som innehåller dessa skadliga bilagor är förfalskade för att se ut att vara från de turkiska hälso- och inrikesministeriet. Målen inkluderade Turkiets vetenskapliga och tekniska forskningsråd (Tubitak).
De skadliga dokumenten innehöll inbäddade VBA-makron utformade för att utlösa ett PowerShell-skript, vilket ledde till exekvering av en nedladdare för exekvering av godtycklig kod, skapandet av en registernyckel för persistens och användningen av Living Off the Land Binaries (LOLBins) för att kapa maskin.
Väl inne i ett målsystem tenderar MuddyWater att fokusera på tre syften: att bedriva cyberspionage för statliga intressen; stjäla immateriell egendom med ett högt ekonomiskt värde, och distribuera ransomware för att medvetet störa en offerorganisations operatörer eller för att “förstöra bevis på deras intrång”, enligt Talos.
Forskarna kunde dock inte säkra den slutliga nyttolasten i denna kampanj på grund av verifieringskontroller på operatörens kommando-och-kontroll-server (C2).
APT har också antagit kanariefågel för att hålla reda på deras intrång. Kanarie-tokens är digitala “kanariefåglar” som varnar för att en fil har öppnats – och även om de ofta används av försvarare för att upptäcka och övervaka potentiella intrång, kan cyberattackare också använda dem för att spåra framgångsrika infektioner.
“Spårningstokens kan också användas som ett annat medel för antianalys: tidskontroller”, säger Talos. “En rimlig tidskontroll av varaktigheten mellan token-förfrågningarna och begäran om att ladda ner en nyttolast kan indikera automatiserad analys. […] Spårningstokens kan också vara en metod för att upptäcka blockeringen av nyttolastservern. Om de fortsätter att ta emot förfrågningar till token men inte till nyttolastservern, det är en indikation på att deras nyttolastserver har blockerats och av vem.”
Ett råd utfärdat av Trakya och Turkiets nationella cyberincidentresponscenter (USOM) varning för en attack på APT-nivå listade IP-adresser och en e-postadress som också avslöjades i Talos-analysen av denna kampanj.
Tidigare och relaterad bevakning
Donot Team APT kommer att slå statliga, militära mål i flera år – tills de lyckas
Ny avancerad hackningsgrupp riktar sig till regeringar, ingenjörer över hela världen
Kinesiska APT använder sig av MoonBounce-implantat i UEFI-firmware
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter