Търсене
Close this search box.

Иранци извършват разрушителни атаки

Иранската държавна групировка, известна като MuddyWater, е наблюдавана да извършва разрушителни атаки срещу хибридни среди под прикритието на операция за получаване на откуп.

Това сочат новите констатации на екипа на Microsoft Threat Intelligence, който е открил заплахата, насочена както към локални, така и към облачни инфраструктури, в партньорство с друг нововъзникващ клъстер на дейност, наречен DEV-1084.

„Макар че извършителите са се опитали да маскират дейността като стандартна кампания за откуп, невъзстановимите действия показват, че крайните цели на операцията са били разрушаване и прекъсване“, разкри технологичният гигант в петък.

MuddyWater е името, присвоено на базирания в Иран субект, който правителството на САЩ публично свърза с Министерството на разузнаването и сигурността на страната (MOIS). За него се знае, че е активен поне от 2017 г. насам.

Проследява се от общността за киберсигурност и под различни имена, включително Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros и Yellow Nix.

Фирмата за киберсигурност Secureworks в своя профил на Cobalt Ulster отбелязва, че не е съвсем необичайно в сферата на заплахите да се „инжектират фалшиви флагове в код, свързан с техните операции“, за да се отвлече вниманието в опит да се замъглят усилията за приписване.

Атаките, организирани от групата, са насочени предимно към държави от Близкия изток, като при проникванията, наблюдавани през последната година, е използван недостатъкът Log4Shell за пробив в израелски структури.

Последните констатации на Microsoft разкриват, че групата вероятно е работила заедно с DEV-1084, за да осъществи шпионските атаки, като последният е извършил разрушителните действия, след като MuddyWater успешно се е установил в целевата среда.

„Mercury вероятно е използвал известни уязвимости в непоправени приложения за първоначален достъп, преди да предаде достъпа на DEV-1084, за да извърши широкомащабно разузнаване и откриване, да установи устойчивост и да се придвижи странично в мрежата, често изчаквайки седмици, а понякога и месеци, преди да премине към следващия етап“, казват от Microsoft.

При дейността, засечена от Редмънд, DEV-1084 впоследствие е злоупотребил с компрометирани високопривилегировани пълномощия, за да извърши криптиране на локални устройства и мащабно изтриване на облачни ресурси, включително сървърни ферми, виртуални машини, акаунти за съхранение и виртуални мрежи.

 

Освен това шпионите са получили пълен достъп до електронните пощенски кутии чрез Exchange Web Services, като са го използвали за извършване на „хиляди дейности по търсене“ и са се представили за неназован високопоставен служител, за да изпращат съобщения до вътрешни и външни получатели.

Смята се, че горепосочените действия са извършени в рамките на около три часа, като се започне от 12:38 ч. (когато нападателят е влязъл в средата Microsoft Azure чрез компрометирани идентификационни данни) и се приключи в 3:21 ч. (когато нападателят е изпратил имейли на други страни след успешното прекъсване на работата в облака).

Струва си да се отбележи, че DEV-1084 се отнася за същия субект, който през февруари прие образа на „DarkBit“ като част от атака за изнудване и откуп, насочена към Technion, водещ изследователски университет в Израел. Миналия месец Националната кибердирекция на Израел приписа атаката на MuddyWater.

„DEV-1084 […] се представи като криминален извършител, заинтересован от изнудване, вероятно като опит да се замаже връзката с Иран и стратегическата мотивация за атаката“, добавиха от Microsoft.

Връзките между Mercury и DEV-1084 произтичат от припокриване на инфраструктурата, IP адресите и инструментите, като при последния се наблюдава използване на програма за обратно тунелиране, наречена Ligolo, основен артефакт на MuddyWater.

При това няма достатъчно доказателства, за да се определи дали DEV-1084 действа независимо от MuddyWater и си сътрудничи с други ирански участници, или е подгрупа, която се свиква само при необходимост от провеждане на разрушителна атака.

В началото на миналата година Cisco Talos описва MuddyWater като „конгломерат“, състоящ се от няколко по-малки клъстера, а не от една-единствена, сплотена група. Появата на DEV-1084 предполага кимване в тази посока.

„Въпреки че тези екипи изглежда действат независимо, всички те са мотивирани от едни и същи фактори, които съответстват на целите на иранската национална сигурност, включително шпионаж, интелектуална кражба и разрушителни операции в зависимост от жертвите, към които са насочени“, отбеляза Talos през март 2022 г.

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!