Иранската държавна групировка, известна като MuddyWater, е наблюдавана да извършва разрушителни атаки срещу хибридни среди под прикритието на операция за получаване на откуп.

Това сочат новите констатации на екипа на Microsoft Threat Intelligence, който е открил заплахата, насочена както към локални, така и към облачни инфраструктури, в партньорство с друг нововъзникващ клъстер на дейност, наречен DEV-1084.

„Макар че извършителите са се опитали да маскират дейността като стандартна кампания за откуп, невъзстановимите действия показват, че крайните цели на операцията са били разрушаване и прекъсване“, разкри технологичният гигант в петък.

MuddyWater е името, присвоено на базирания в Иран субект, който правителството на САЩ публично свърза с Министерството на разузнаването и сигурността на страната (MOIS). За него се знае, че е активен поне от 2017 г. насам.

Проследява се от общността за киберсигурност и под различни имена, включително Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros и Yellow Nix.

Фирмата за киберсигурност Secureworks в своя профил на Cobalt Ulster отбелязва, че не е съвсем необичайно в сферата на заплахите да се „инжектират фалшиви флагове в код, свързан с техните операции“, за да се отвлече вниманието в опит да се замъглят усилията за приписване.

Атаките, организирани от групата, са насочени предимно към държави от Близкия изток, като при проникванията, наблюдавани през последната година, е използван недостатъкът Log4Shell за пробив в израелски структури.

Последните констатации на Microsoft разкриват, че групата вероятно е работила заедно с DEV-1084, за да осъществи шпионските атаки, като последният е извършил разрушителните действия, след като MuddyWater успешно се е установил в целевата среда.

„Mercury вероятно е използвал известни уязвимости в непоправени приложения за първоначален достъп, преди да предаде достъпа на DEV-1084, за да извърши широкомащабно разузнаване и откриване, да установи устойчивост и да се придвижи странично в мрежата, често изчаквайки седмици, а понякога и месеци, преди да премине към следващия етап“, казват от Microsoft.

При дейността, засечена от Редмънд, DEV-1084 впоследствие е злоупотребил с компрометирани високопривилегировани пълномощия, за да извърши криптиране на локални устройства и мащабно изтриване на облачни ресурси, включително сървърни ферми, виртуални машини, акаунти за съхранение и виртуални мрежи.

 

Освен това шпионите са получили пълен достъп до електронните пощенски кутии чрез Exchange Web Services, като са го използвали за извършване на „хиляди дейности по търсене“ и са се представили за неназован високопоставен служител, за да изпращат съобщения до вътрешни и външни получатели.

Смята се, че горепосочените действия са извършени в рамките на около три часа, като се започне от 12:38 ч. (когато нападателят е влязъл в средата Microsoft Azure чрез компрометирани идентификационни данни) и се приключи в 3:21 ч. (когато нападателят е изпратил имейли на други страни след успешното прекъсване на работата в облака).

Струва си да се отбележи, че DEV-1084 се отнася за същия субект, който през февруари прие образа на „DarkBit“ като част от атака за изнудване и откуп, насочена към Technion, водещ изследователски университет в Израел. Миналия месец Националната кибердирекция на Израел приписа атаката на MuddyWater.

„DEV-1084 […] се представи като криминален извършител, заинтересован от изнудване, вероятно като опит да се замаже връзката с Иран и стратегическата мотивация за атаката“, добавиха от Microsoft.

Връзките между Mercury и DEV-1084 произтичат от припокриване на инфраструктурата, IP адресите и инструментите, като при последния се наблюдава използване на програма за обратно тунелиране, наречена Ligolo, основен артефакт на MuddyWater.

При това няма достатъчно доказателства, за да се определи дали DEV-1084 действа независимо от MuddyWater и си сътрудничи с други ирански участници, или е подгрупа, която се свиква само при необходимост от провеждане на разрушителна атака.

В началото на миналата година Cisco Talos описва MuddyWater като „конгломерат“, състоящ се от няколко по-малки клъстера, а не от една-единствена, сплотена група. Появата на DEV-1084 предполага кимване в тази посока.

„Въпреки че тези екипи изглежда действат независимо, всички те са мотивирани от едни и същи фактори, които съответстват на целите на иранската национална сигурност, включително шпионаж, интелектуална кражба и разрушителни операции в зависимост от жертвите, към които са насочени“, отбеляза Talos през март 2022 г.

Източник: The Hacker News

Подобни публикации

15 юли 2025

Критични уязвимости в над 240 модела дънни плат...

Изследователи по фърмуерна сигурност алармираха, че десетки модели ...
15 юли 2025

Американски дипломати предупредени за ИИ фалшиф...

Държавният департамент на САЩ предупреди всички американски посолст...

Ще останат ли смартфоните в миналото?

С разширяването на възможностите на изкуствения интелект и стремежа...
14 юли 2025

Злонамерено разширение за Cursor AI IDE доведе ...

Фалшиво разширение за средата за разработка Cursor AI IDE, базирана...
14 юли 2025

Актуализация за Windows 10 нарушава функцията з...

След инсталиране на юлската актуализация KB5062554 за Windows 10, п...
14 юли 2025

Google Gemini податлив на скрити фишинг атаки ч...

Изследване, представено чрез програмата за уязвимости 0din на Mozil...

Защо традиционният HAZOP не е достатъчен

HAZOP (Hazard and Operability Study) е утвърден метод за идентифици...

Преосмисляне на OT киберсигурността

Въпреки че оперативните технологии (OT) стоят в основата на критичн...
Бъдете социални
Още по темата
10/07/2025

САЩ наложиха санкции на сев...

Министерството на финансите на САЩ санкционира...
09/07/2025

Европейски медии пускат Cha...

Група от водещи европейски медии обяви...
08/07/2025

Batavia атакува руски индус...

Изследователи от Kaspersky разкриха нова шпионска...
Последно добавени
15/07/2025

Критични уязвимости в над 2...

Изследователи по фърмуерна сигурност алармираха, че...
15/07/2025

Американски дипломати преду...

Държавният департамент на САЩ предупреди всички...
15/07/2025

Ще останат ли смартфоните в...

С разширяването на възможностите на изкуствения...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!