Иранската държавна групировка, известна като MuddyWater, е наблюдавана да извършва разрушителни атаки срещу хибридни среди под прикритието на операция за получаване на откуп.
Това сочат новите констатации на екипа на Microsoft Threat Intelligence, който е открил заплахата, насочена както към локални, така и към облачни инфраструктури, в партньорство с друг нововъзникващ клъстер на дейност, наречен DEV-1084.
„Макар че извършителите са се опитали да маскират дейността като стандартна кампания за откуп, невъзстановимите действия показват, че крайните цели на операцията са били разрушаване и прекъсване“, разкри технологичният гигант в петък.
MuddyWater е името, присвоено на базирания в Иран субект, който правителството на САЩ публично свърза с Министерството на разузнаването и сигурността на страната (MOIS). За него се знае, че е активен поне от 2017 г. насам.
Проследява се от общността за киберсигурност и под различни имена, включително Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros и Yellow Nix.
Фирмата за киберсигурност Secureworks в своя профил на Cobalt Ulster отбелязва, че не е съвсем необичайно в сферата на заплахите да се „инжектират фалшиви флагове в код, свързан с техните операции“, за да се отвлече вниманието в опит да се замъглят усилията за приписване.
Атаките, организирани от групата, са насочени предимно към държави от Близкия изток, като при проникванията, наблюдавани през последната година, е използван недостатъкът Log4Shell за пробив в израелски структури.
Последните констатации на Microsoft разкриват, че групата вероятно е работила заедно с DEV-1084, за да осъществи шпионските атаки, като последният е извършил разрушителните действия, след като MuddyWater успешно се е установил в целевата среда.
„Mercury вероятно е използвал известни уязвимости в непоправени приложения за първоначален достъп, преди да предаде достъпа на DEV-1084, за да извърши широкомащабно разузнаване и откриване, да установи устойчивост и да се придвижи странично в мрежата, често изчаквайки седмици, а понякога и месеци, преди да премине към следващия етап“, казват от Microsoft.
При дейността, засечена от Редмънд, DEV-1084 впоследствие е злоупотребил с компрометирани високопривилегировани пълномощия, за да извърши криптиране на локални устройства и мащабно изтриване на облачни ресурси, включително сървърни ферми, виртуални машини, акаунти за съхранение и виртуални мрежи.
Освен това шпионите са получили пълен достъп до електронните пощенски кутии чрез Exchange Web Services, като са го използвали за извършване на „хиляди дейности по търсене“ и са се представили за неназован високопоставен служител, за да изпращат съобщения до вътрешни и външни получатели.
Смята се, че горепосочените действия са извършени в рамките на около три часа, като се започне от 12:38 ч. (когато нападателят е влязъл в средата Microsoft Azure чрез компрометирани идентификационни данни) и се приключи в 3:21 ч. (когато нападателят е изпратил имейли на други страни след успешното прекъсване на работата в облака).
Струва си да се отбележи, че DEV-1084 се отнася за същия субект, който през февруари прие образа на „DarkBit“ като част от атака за изнудване и откуп, насочена към Technion, водещ изследователски университет в Израел. Миналия месец Националната кибердирекция на Израел приписа атаката на MuddyWater.
„DEV-1084 […] се представи като криминален извършител, заинтересован от изнудване, вероятно като опит да се замаже връзката с Иран и стратегическата мотивация за атаката“, добавиха от Microsoft.
Връзките между Mercury и DEV-1084 произтичат от припокриване на инфраструктурата, IP адресите и инструментите, като при последния се наблюдава използване на програма за обратно тунелиране, наречена Ligolo, основен артефакт на MuddyWater.
При това няма достатъчно доказателства, за да се определи дали DEV-1084 действа независимо от MuddyWater и си сътрудничи с други ирански участници, или е подгрупа, която се свиква само при необходимост от провеждане на разрушителна атака.
В началото на миналата година Cisco Talos описва MuddyWater като „конгломерат“, състоящ се от няколко по-малки клъстера, а не от една-единствена, сплотена група. Появата на DEV-1084 предполага кимване в тази посока.
„Въпреки че тези екипи изглежда действат независимо, всички те са мотивирани от едни и същи фактори, които съответстват на целите на иранската национална сигурност, включително шпионаж, интелектуална кражба и разрушителни операции в зависимост от жертвите, към които са насочени“, отбеляза Talos през март 2022 г.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
