Η ιρανική ομάδα hacking γνωστή ως MuddyWater έχει παρατηρηθεί να πραγματοποιεί καταστροφικές επιθέσεις σε υβριδικά περιβάλλοντα υπό το πρόσχημα μιας επιχείρησης ransomware.
Η ομάδα Microsoft Threat Intelligence μόλις ανακάλυψε έναν νέο απειλητικό φορέα που στοχεύει τόσο σε υποδομές cloud όσο και σε εγκαταστάσεις σε συνεργασία με μια άλλη ομάδα κακόβουλης δραστηριότητας που ονομάζεται DEV-1084.
Το MuddyWater είναι το όνομα που αποδίδεται σε έναν απειλητικό παράγοντα με έδρα το Ιράν, τον οποίο η κυβέρνηση των ΗΠΑ έχει συνδέσει δημόσια με το Υπουργείο Πληροφοριών και Ασφάλειας της χώρας (MOIS). Είναι γνωστό ότι είναι ενεργός τουλάχιστον από το 2017.
Παρακολουθείται επίσης από την κοινότητα της κυβερνοασφάλειας με διάφορα ονόματα, όπως Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros και Yellow Nix.
Δείτε επίσης: iPhone: Αυτή η προειδοποίηση είναι πολύ επικίνδυνη για να αγνοηθεί
Η Secureworks, μια εταιρεία ασφάλειας στον κυβερνοχώρο, δημοσίευσε μια ανάλυση του Cobalt Ulster, στην οποία αναφέρεται ότι είναι φυσιολογικό για τους κακόβουλους φορείς να προσθέτουν παραπλανητικές λεπτομέρειες στον κώδικά τους ως έναν τρόπο να αποφεύγουν την αναγνώριση. Αυτό το έξυπνο τέχνασμα που ονομάζεται “false flagging” βοηθά τους εγκληματίες να αποφύγουν να συλληφθούν, επιχειρώντας να μπερδέψουν τις προσπάθειες απόδοσης.
Τον τελευταίο χρόνο, τα exploits του Log4Shell χρησιμοποιήθηκαν ευρέως από αυτή την ομάδα για να εξαπολύσει επιθέσεις κυρίως εναντίον χωρών της Μέσης Ανατολής. Ιδιαίτερα στο Ισραήλ, αναφέρθηκε ένας αξιοσημείωτος αριθμός εισβολών.
Οι τελευταίες ανακαλύψεις της Microsoft υποδηλώνουν μια πιθανή συνεργασία μεταξύ του απειλητικού παράγοντα και του DEV-1084 για την πραγματοποίηση των επιθέσεων κατασκοπείας, οι οποίες περιλάμβαναν καταστροφικές δραστηριότητες μετά την επιτυχή διείσδυση του MuddyWater στο περιβάλλον-στόχο.
Η Redmond ανακάλυψε ότι η DEV-1084 έκανε κατάχρηση προνομιακών κλεμμένων διαπιστευτηρίων για την κρυπτογράφηση εξοπλισμού στο χώρο του συστήματος και εξάλειψε ένα ευρύ φάσμα περιουσιακών στοιχείων του cloud, όπως φάρμες διακομιστών, εικονικές μηχανές, λογαριασμούς αποθήκευσης, ακόμη και ολόκληρα εικονικά δίκτυα.
Δείτε επίσης: Η ομάδα ARES γίνεται όλο και πιο γνωστή στον κόσμο του κυβερνοεγκλήματος
Επιπλέον, οι απειλητικοί φορείς απέκτησαν πλήρη πρόσβαση στα εισερχόμενα email μέσω των Exchange Web Services, χρησιμοποιώντας τα για να εκτελέσουν «χιλιάδες δραστηριότητες αναζήτησης» και να υποδυθούν έναν ανώνυμο υψηλόβαθμο υπάλληλο για να στείλουν μηνύματα τόσο σε εσωτερικούς όσο και σε εξωτερικούς παραλήπτες.
Οι προαναφερθείσες ενέργειες εκτιμάται ότι πραγματοποιήθηκαν σε ένα χρονικό διάστημα περίπου τριών ωρών, ξεκινώντας από τις 12:38 π.μ. (όταν ο εισβολέας συνδέθηκε στο περιβάλλον Microsoft Azure μέσω παραβιασμένων credentials) και λήγει στις 3:21 π.μ. (όταν ο εισβολέας έστειλε μηνύματα ηλεκτρονικού ταχυδρομείου στη διεύθυνση άλλα μέρη μετά την επιτυχή διακοπή του cloud).
Αξίζει να σημειωθεί εδώ ότι η DEV-1084 αναφέρεται στον ίδιο παράγοντα απειλής που ανέλαβε την περσόνα “DarkBit” ως μέρος μιας επίθεσης ransomware και εκβιασμού που στόχευε στο Technion, ένα κορυφαίο ερευνητικό πανεπιστήμιο στο Ισραήλ, τον Φεβρουάριο. Η Εθνική Διεύθυνση Cyber του Ισραήλ, τον περασμένο μήνα, απέδωσε την επίθεση στην MuddyWater.
Δείτε επίσης: Η ομάδα ransomware Royal έχει στοχεύσει πάνω από 1.000 οργανισμούς
Η σύνδεση μεταξύ Mercury και DEV-1084 είναι ορατή από την υποδομή, τη διεύθυνση IP και τα εργαλεία που μοιράζονται. Συγκεκριμένα, το Ligolo – ένα βοηθητικό πρόγραμμα reverse tunneling utility που χρησιμοποιείται ως τεχνούργημα της MuddyWater – εντοπίστηκε ότι χρησιμοποιείται σε αυτή την περίπτωση.
Τούτου λεχθέντος, δεν υπάρχουν άφθονα στοιχεία για να καθοριστεί εάν η DEV-1084 λειτουργεί ανεξάρτητα από την MuddyWater και συνεργάζεται με άλλους Ιρανούς παράγοντες ή εάν είναι μια υποομάδα που καλείται μόνο όταν υπάρχει ανάγκη να πραγματοποιηθεί μια καταστροφική επίθεση.
Η Cisco Talos, στις αρχές του περασμένου έτους, περιέγραψε τη MuddyWater ως ένα «συγκρότημα ετερογενών δραστηριοτήτων» που περιλαμβάνει πολλά μικρότερα clusters αντί για μια ενιαία, συνεκτική ομάδα. Η εμφάνιση του DEV-1084 υποδηλώνει ένα νεύμα προς αυτή την κατεύθυνση.
Πηγή πληροφοριών: thehackernews.com
