İranlı bir jeopolitik bağlantı tehdidi aktörü, Kasım 2021’de adı açıklanmayan bir Orta Doğu hükümet kuruluşuna yapılan saldırının bir parçası olarak “basit” arka kapı işlevleriyle gelen iki yeni hedefli kötü amaçlı yazılımı dağıttığı ortaya çıktı.
Siber güvenlik şirketi Mandiant, saldırıyı takma ad altında izlediği kategorize edilmemiş bir kümeye bağladı UNC3313MuddyWater devlet destekli grupla ilişkili olarak “orta düzeyde güvenle” değerlendirdiği .
Araştırmacılar Ryan Tomcik, Emiel Haeghebaert ve Tufail Ahmed, “UNC3313, İran’ın çıkarlarını ve karar alma sürecini desteklemek için gözetleme yapıyor ve stratejik bilgiler topluyor.” dedim. “Hedefleme kalıpları ve ilgili cazibeler, jeopolitik bir bağlantıya sahip hedeflere güçlü bir şekilde odaklanıldığını gösteriyor.”
Ocak 2022’nin ortalarında, ABD istihbarat teşkilatları MuddyWater’ı (diğer adıyla Static Kitten, Seedworm, TEMP.Zagros veya Mercury), İran İstihbarat ve Güvenlik Bakanlığı’nın (MOIS) en az 2018’den beri aktif olan bir alt unsuru olarak nitelendirdi ve operasyonlarında çok çeşitli araç ve teknikleri kullandığı bilinmektedir.
Saldırıların, ilk erişim elde etmek için hedefli kimlik avı mesajları aracılığıyla düzenlendiği ve ardından, yanal hareket ve çevreye erişimi sürdürmek için halka açık saldırgan güvenlik araçlarından ve uzaktan erişim yazılımlarından yararlanıldığı söyleniyor.
Kimlik avı e-postaları, bir iş promosyonu cazibesiyle hazırlanmıştı ve birden fazla kurbanı, OneHub’da barındırılan bir RAR arşiv dosyasını indirmek için bir URL’yi tıklamaları için kandırdı ve bu, bir dayanak elde etmek için meşru bir uzaktan erişim yazılımı olan ScreenConnect’in kurulumunun yolunu açtı.
“UNC3313, ilk güvenlik açığından sonraki bir saat içinde sistemlere sızmak için ScreenConnect’i kullanarak uzaktan erişim kurmak için hızlı bir şekilde hareket etti,” dedi ve güvenlik olayının hızla kontrol altına alındığını ve düzeltildiğini ekledi.
Saldırının sonraki aşamaları, ayrıcalıkların yükseltilmesini, hedeflenen ağ üzerinde dahili keşif yapılmasını ve uzak sistemlere ek araçlar ve yükler indirmek için gizlenmiş PowerShell komutlarının çalıştırılmasını içeriyordu.
Ayrıca, HTTP aracılığıyla sabit kodlanmış bir komut ve kontrol (C2) sunucusundan alınan komutları yürüten bir Windows Komut Dosyası (.WSF) olan STARWHALE adlı daha önce belgelenmemiş bir arka kapı da gözlemlendi.
Saldırı sırasında teslim edilen başka bir implant, tespitten kaçınmak amacıyla saldırgan kontrollü sunucuyla ağ iletişimi için Telegram API’sini kullanması nedeniyle bu adı alan GRAMDOOR’dur ve bir kez daha sızmayı kolaylaştırmak için iletişim araçlarının kullanımını vurgulamaktadır. veri.
Bulgular ayrıca, MuddyWater grubunu dünya genelinde savunma, yerel yönetim, petrol ve doğal gaz ve telekomünikasyon sektörlerini hedef alan casusluk saldırılarıyla suçlayan İngiltere ve ABD’deki siber güvenlik kurumlarının yeni bir ortak tavsiyesiyle örtüşüyor.