Η υποστηριζόμενη από το Ιράν ομάδα hacking MuddyWater διεξάγει μια νέα κακόβουλη εκστρατεία που στοχεύει ιδιωτικούς τουρκικούς οργανισμούς και κυβερνητικά ιδρύματα.
Δείτε επίσης: Η νέα ομάδα hacking Karakurt εστιάζει σε κλοπή των data & τον εκβιασμό
Αυτή η ομάδα κατασκοπείας στον κυβερνοχώρο (γνωστή και ως Mercury, SeedWorm και TEMP.Zagros) συνδέθηκε αυτόν τον μήνα με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS) από τη Διοίκηση Κυβερνοχώρου των ΗΠΑ (USCYBERCOM).
Η ομάδα hacking έχει αποδοθεί σε επιθέσεις κατά οντοτήτων στην Κεντρική και Νοτιοδυτική Ασία και σε πολλούς δημόσιους και ιδιωτικούς οργανισμούς από την Ευρώπη, την Ασία και τη Βόρεια Αμερική στους τομείς των τηλεπικοινωνιών, της κυβέρνησης (Υπηρεσίες πληροφορικής), του πετρελαίου και της αεροπορικής βιομηχανίας.
Κατά τη διεξαγωγή επιθέσεων, οι παράγοντες απειλών χρησιμοποιούν διάφορους τύπους αρχείων, όπως PDF, αρχεία XLS και εκτελέσιμα Windows για να αναπτύξουν ασαφή προγράμματα λήψης που βασίζονται στο PowerShell και να αποκτήσουν αρχική πρόσβαση σε στοχευμένα δίκτυα.
Δείτε επίσης: Η ομάδα hacking Nobelium χρησιμοποιεί το νέο malware Ceeloader
Δύο αλυσίδες μόλυνσης
Μια νέα έκθεση ερευνητών της Cisco Talos συνδέει την ομάδα MuddyWater με πρόσφατες επιθέσεις που στοχεύουν τουρκικούς ιδιωτικούς οργανισμούς και κυβερνητικές υπηρεσίες.
Οι επιθέσεις ξεκινούν με spear-phishing που χρησιμοποιεί αρχεία με ονόματα στην τουρκική γλώσσα και προσποιείται ότι προέρχεται από το υπουργείο Υγείας ή Εσωτερικών της χώρας.
Ως μέρος της επίθεσης, οι απειλητικοί παράγοντες MuddyWater χρησιμοποιούν δύο αλυσίδες μόλυνσης που ξεκινούν με την παράδοση ενός αρχείου PDF. Στην πρώτη περίπτωση, το PDF διαθέτει ένα ενσωματωμένο κουμπί που ανακτά ένα αρχείο XLS κάνοντας κλικ σε αυτό.
Αυτά τα αρχεία είναι τυπικά έγγραφα XLS που φέρουν κακόβουλες μακροεντολές VBA, οι οποίες ξεκινούν τη διαδικασία μόλυνσης και εδραιώνουν το persistence δημιουργώντας ένα νέο κλειδί μητρώου.
Δείτε επίσης: Η ομάδα hacking XE Group κλέβει χιλιάδες πιστωτικές κάρτες κάθε μέρα
Στο ίδιο στάδιο, ένα VBScript λαμβάνεται με ένα πρόγραμμα λήψης PowerShell και εκτελείται μέσω ενός DLL “living off the land” για να αποφευχθεί ο εντοπισμός, ανακτώντας το κύριο payload από το C2.
Η δεύτερη αλυσίδα μόλυνσης χρησιμοποιεί ένα αρχείο EXE αντί για ένα XLS, αλλά εξακολουθεί να χρησιμοποιεί το downloader PowerShell, το ενδιάμεσο VBScript και προσθέτει ένα νέο registry key για persistence.
Χρήση canary tokens
Μια αξιοσημείωτη διαφορά σε αυτήν την καμπάνια σε σύγκριση με παλαιότερες είναι η χρήση των canary tokens για την παρακολούθηση εκτελέσεων κώδικα και τυχόν επακόλουθων μολύνσεων σε γειτονικά συστήματα.
Το token κρύβεται μέσα στο κακόβουλο συνημμένο ή στο ίδιο το email και ειδοποιεί τους απειλητικούς παράγοντες όταν το θύμα ανοίγει το lure και εκτελεί τη μακροεντολή.
Αυτά τα tokens μπορούν να χρησιμοποιηθούν και ως εργαλεία κατά της ανάλυσης, παρέχοντας χρονικές σημάνσεις στους συντελεστές και διευκολύνοντας τον εντοπισμό ασυνεπειών που προκαλούνται από την έρευνα/ανάλυση.
Τέλος, εάν το token στέλνει αιτήματα αλλά το payload δεν έχει ληφθεί, είναι ένδειξη ότι ο payload server είναι αποκλεισμένος, δίνοντας στους χάκερ πολύτιμες πληροφορίες για την κατάσταση και οδηγώντας τους να αναζητήσουν εναλλακτικές μεθόδους παράδοσης.
Απόδοση
Οι ερευνητές αποδίδουν αυτές τις επιθέσεις στην ομάδα MuddyWater με βάση τους παρατηρούμενους τεχνικούς indicators, τις τακτικές, τις διαδικασίες και την υποδομή C2.
Συγκεκριμένα, οι τουρκικές αρχές εντόπισαν ορισμένες από τις διευθύνσεις C2 IP που χρησιμοποιήθηκαν σε αυτήν την εκστρατεία από προηγούμενες επιθέσεις και αναφέρονται στα επίσημα official threat advisories.
Η Cisco έχει πρόσθετα ισχυρά στοιχεία που υποδεικνύουν τους Ιρανούς φορείς με τη μορφή ομοιοτήτων κώδικα και μεταδεδομένων και άλλους δείκτες που δεν δημοσίευσαν λόγω ευαισθησιών ανταλλαγής πληροφοριών.
Πηγή πληροφοριών: bleepingcomputer.com
