Иранската държавна групировка, известна като MuddyWater, е наблюдавана да извършва разрушителни атаки срещу хибридни среди под прикритието на операция за получаване на откуп.

Това сочат новите констатации на екипа на Microsoft Threat Intelligence, който е открил заплахата, насочена както към локални, така и към облачни инфраструктури, в партньорство с друг нововъзникващ клъстер на дейност, наречен DEV-1084.

„Макар че извършителите са се опитали да маскират дейността като стандартна кампания за откуп, невъзстановимите действия показват, че крайните цели на операцията са били разрушаване и прекъсване“, разкри технологичният гигант в петък.

MuddyWater е името, присвоено на базирания в Иран субект, който правителството на САЩ публично свърза с Министерството на разузнаването и сигурността на страната (MOIS). За него се знае, че е активен поне от 2017 г. насам.

Проследява се от общността за киберсигурност и под различни имена, включително Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros и Yellow Nix.

Фирмата за киберсигурност Secureworks в своя профил на Cobalt Ulster отбелязва, че не е съвсем необичайно в сферата на заплахите да се „инжектират фалшиви флагове в код, свързан с техните операции“, за да се отвлече вниманието в опит да се замъглят усилията за приписване.

Атаките, организирани от групата, са насочени предимно към държави от Близкия изток, като при проникванията, наблюдавани през последната година, е използван недостатъкът Log4Shell за пробив в израелски структури.

Последните констатации на Microsoft разкриват, че групата вероятно е работила заедно с DEV-1084, за да осъществи шпионските атаки, като последният е извършил разрушителните действия, след като MuddyWater успешно се е установил в целевата среда.

„Mercury вероятно е използвал известни уязвимости в непоправени приложения за първоначален достъп, преди да предаде достъпа на DEV-1084, за да извърши широкомащабно разузнаване и откриване, да установи устойчивост и да се придвижи странично в мрежата, често изчаквайки седмици, а понякога и месеци, преди да премине към следващия етап“, казват от Microsoft.

При дейността, засечена от Редмънд, DEV-1084 впоследствие е злоупотребил с компрометирани високопривилегировани пълномощия, за да извърши криптиране на локални устройства и мащабно изтриване на облачни ресурси, включително сървърни ферми, виртуални машини, акаунти за съхранение и виртуални мрежи.

 

Освен това шпионите са получили пълен достъп до електронните пощенски кутии чрез Exchange Web Services, като са го използвали за извършване на „хиляди дейности по търсене“ и са се представили за неназован високопоставен служител, за да изпращат съобщения до вътрешни и външни получатели.

Смята се, че горепосочените действия са извършени в рамките на около три часа, като се започне от 12:38 ч. (когато нападателят е влязъл в средата Microsoft Azure чрез компрометирани идентификационни данни) и се приключи в 3:21 ч. (когато нападателят е изпратил имейли на други страни след успешното прекъсване на работата в облака).

Струва си да се отбележи, че DEV-1084 се отнася за същия субект, който през февруари прие образа на „DarkBit“ като част от атака за изнудване и откуп, насочена към Technion, водещ изследователски университет в Израел. Миналия месец Националната кибердирекция на Израел приписа атаката на MuddyWater.

„DEV-1084 […] се представи като криминален извършител, заинтересован от изнудване, вероятно като опит да се замаже връзката с Иран и стратегическата мотивация за атаката“, добавиха от Microsoft.

Връзките между Mercury и DEV-1084 произтичат от припокриване на инфраструктурата, IP адресите и инструментите, като при последния се наблюдава използване на програма за обратно тунелиране, наречена Ligolo, основен артефакт на MuddyWater.

При това няма достатъчно доказателства, за да се определи дали DEV-1084 действа независимо от MuddyWater и си сътрудничи с други ирански участници, или е подгрупа, която се свиква само при необходимост от провеждане на разрушителна атака.

В началото на миналата година Cisco Talos описва MuddyWater като „конгломерат“, състоящ се от няколко по-малки клъстера, а не от една-единствена, сплотена група. Появата на DEV-1084 предполага кимване в тази посока.

„Въпреки че тези екипи изглежда действат независимо, всички те са мотивирани от едни и същи фактори, които съответстват на целите на иранската национална сигурност, включително шпионаж, интелектуална кражба и разрушителни операции в зависимост от жертвите, към които са насочени“, отбеляза Talos през март 2022 г.

Източник: The Hacker News

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
17 февруари 2025

Изтеглянето на DeepSeek е спряно в Южна Корея

Китайският стартъп за изкуствен интелект DeepSeek временно е спрял ...
17 февруари 2025

Уязвимостите на Xerox Versalink позволяват стра...

Уязвимостите в многофункционалните принтери Xerox VersaLink могат д...
Бъдете социални
Още по темата
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
17/02/2025

Русия насочва организациите...

Свързана с Русия заплаха, проследена като...
13/02/2025

Япония преминава в атака с ...

Според експерти Япония се стреми да...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!