Търсене
Close this search box.

Иранци извършват разрушителни атаки

Иранската държавна групировка, известна като MuddyWater, е наблюдавана да извършва разрушителни атаки срещу хибридни среди под прикритието на операция за получаване на откуп.

Това сочат новите констатации на екипа на Microsoft Threat Intelligence, който е открил заплахата, насочена както към локални, така и към облачни инфраструктури, в партньорство с друг нововъзникващ клъстер на дейност, наречен DEV-1084.

„Макар че извършителите са се опитали да маскират дейността като стандартна кампания за откуп, невъзстановимите действия показват, че крайните цели на операцията са били разрушаване и прекъсване“, разкри технологичният гигант в петък.

MuddyWater е името, присвоено на базирания в Иран субект, който правителството на САЩ публично свърза с Министерството на разузнаването и сигурността на страната (MOIS). За него се знае, че е активен поне от 2017 г. насам.

Проследява се от общността за киберсигурност и под различни имена, включително Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros и Yellow Nix.

Фирмата за киберсигурност Secureworks в своя профил на Cobalt Ulster отбелязва, че не е съвсем необичайно в сферата на заплахите да се „инжектират фалшиви флагове в код, свързан с техните операции“, за да се отвлече вниманието в опит да се замъглят усилията за приписване.

Атаките, организирани от групата, са насочени предимно към държави от Близкия изток, като при проникванията, наблюдавани през последната година, е използван недостатъкът Log4Shell за пробив в израелски структури.

Последните констатации на Microsoft разкриват, че групата вероятно е работила заедно с DEV-1084, за да осъществи шпионските атаки, като последният е извършил разрушителните действия, след като MuddyWater успешно се е установил в целевата среда.

„Mercury вероятно е използвал известни уязвимости в непоправени приложения за първоначален достъп, преди да предаде достъпа на DEV-1084, за да извърши широкомащабно разузнаване и откриване, да установи устойчивост и да се придвижи странично в мрежата, често изчаквайки седмици, а понякога и месеци, преди да премине към следващия етап“, казват от Microsoft.

При дейността, засечена от Редмънд, DEV-1084 впоследствие е злоупотребил с компрометирани високопривилегировани пълномощия, за да извърши криптиране на локални устройства и мащабно изтриване на облачни ресурси, включително сървърни ферми, виртуални машини, акаунти за съхранение и виртуални мрежи.

 

Освен това шпионите са получили пълен достъп до електронните пощенски кутии чрез Exchange Web Services, като са го използвали за извършване на „хиляди дейности по търсене“ и са се представили за неназован високопоставен служител, за да изпращат съобщения до вътрешни и външни получатели.

Смята се, че горепосочените действия са извършени в рамките на около три часа, като се започне от 12:38 ч. (когато нападателят е влязъл в средата Microsoft Azure чрез компрометирани идентификационни данни) и се приключи в 3:21 ч. (когато нападателят е изпратил имейли на други страни след успешното прекъсване на работата в облака).

Струва си да се отбележи, че DEV-1084 се отнася за същия субект, който през февруари прие образа на „DarkBit“ като част от атака за изнудване и откуп, насочена към Technion, водещ изследователски университет в Израел. Миналия месец Националната кибердирекция на Израел приписа атаката на MuddyWater.

„DEV-1084 […] се представи като криминален извършител, заинтересован от изнудване, вероятно като опит да се замаже връзката с Иран и стратегическата мотивация за атаката“, добавиха от Microsoft.

Връзките между Mercury и DEV-1084 произтичат от припокриване на инфраструктурата, IP адресите и инструментите, като при последния се наблюдава използване на програма за обратно тунелиране, наречена Ligolo, основен артефакт на MuddyWater.

При това няма достатъчно доказателства, за да се определи дали DEV-1084 действа независимо от MuddyWater и си сътрудничи с други ирански участници, или е подгрупа, която се свиква само при необходимост от провеждане на разрушителна атака.

В началото на миналата година Cisco Talos описва MuddyWater като „конгломерат“, състоящ се от няколко по-малки клъстера, а не от една-единствена, сплотена група. Появата на DEV-1084 предполага кимване в тази посока.

„Въпреки че тези екипи изглежда действат независимо, всички те са мотивирани от едни и същи фактори, които съответстват на целите на иранската национална сигурност, включително шпионаж, интелектуална кражба и разрушителни операции в зависимост от жертвите, към които са насочени“, отбеляза Talos през март 2022 г.

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
24/07/2024

Китайските хакери разполага...

Китайската хакерска група, проследена като „Evasive...
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
11/07/2024

APT на хутите шпионира воен...

Простият зловреден софтуер и простият TTPs...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!