İran MuddyWater gelişmiş kalıcı tehdit (APT) grubu tarafından Türk özel kuruluşlarını ve devlet kurumlarını hedef alan daha önce belgelenmemiş bir kötü amaçlı yazılım kampanyasıyla ilgili ayrıntılar ortaya çıktı.
Cisco Talos araştırmacıları Asheer Malhotra ve Vitor Ventura, “Bu kampanya, hedefin kuruluşuna ilk dayanak görevi gören kötü niyetli PowerShell tabanlı indiricileri dağıtmak için kötü amaçlı PDF’ler, XLS dosyaları ve Windows yürütülebilir dosyaları kullanıyor.” söz konusu yeni yayınlanan bir raporda.
bu gelişim ABD Siber Komutanlığı bu ayın başlarında APT’yi İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağladı.
Kasım 2021 gibi yakın bir tarihte düzenlendiğine inanılan izinsiz girişler, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu da dahil olmak üzere Türk devlet kurumlarına yönelikti (TÜBİTAK), saldırgan tarafından kontrol edilen veya medya paylaşım web sitelerinde barındırılan silahlı Excel belgelerini ve PDF dosyalarını kullanarak.
Saldırılar, enfeksiyon zincirini yaymak ve güvenliği ihlal edilmiş sisteme PowerShell komut dosyalarını bırakmak için içlerine yerleştirilmiş kötü amaçlı makroları yürüterek başlayan saldırılarla, Türk Sağlık ve İçişleri Bakanlıklarının meşru belgeleriymiş gibi davrandı.
Grubun taktik, teknik ve prosedür cephaneliğine (TTP’ler) yeni bir ek, makro kodda kanarya belirteçlerinin kullanılmasıdır; bu, araştırmacıların hedeflerin başarılı bir şekilde bulaşmasını izlemek, analizi engellemek ve yükün yüklenip yüklenmediğini tespit etmek için kullanıldığından şüphelenilen bir mekanizmadır. sunucular diğer uçta engelleniyor.
Kanarya jetonları olarak da bilinen bal jetonlarıbelgeler, web sayfaları ve e-postalar gibi nesnelere gömülü olan ve açıldığında bir HTTP isteği biçiminde bir uyarıyı tetikleyerek operatörü nesneye erişildiği konusunda uyaran tanımlayıcılardır.
PowerShell betiği daha sonra bir sonraki yükü, ayrıca maldoc’un meta verilerinde bulunan bir PowerShell betiğini indirir ve yürütür, bu da sonuçta virüslü uç noktada çalışan üçüncü, tanımlanamayan bir PowerShell kodu için indirici görevi görür.
Talos tarafından gözlemlenen saldırıların ikinci bir çeşidinde, gömülü bağlantılara sahip PDF belgelerinin Excel dosyaları yerine Windows yürütülebilir dosyalarına işaret ettiği bulundu, bu daha sonra PowerShell indiricilerini dağıtmak için enfeksiyon zincirini kullandı.
Dahası, araştırmacılar, düşman tarafından Haziran 2021’de Ermenistan’daki telekomünikasyon sektörünü ve Ağustos 2021’de Pakistan varlıklarını hedef alan yürütülebilir dosyanın en az iki farklı versiyonunu bulduklarını ve MuddyWater’ın bir parçası olarak birden fazla saldırıya karışmış olabileceği olasılığını artırdıklarını söyledi. bir uzun sürekli kampanya.
Açıklama ayrıca aşağıdaki serbest bırakmak ABD Federal Soruşturma Bürosu (FBI) tarafından geçen hafta, Emennet Pasargad adlı İran merkezli bir siber şirketin kötü niyetli siber faaliyetlerini ayrıntılandıran ve saldırıya müdahale etmek için düzenlenen karmaşık bir etki kampanyasına bağlı olan bir Özel Sektör Bildirimi (PIN) 2020 başkanlık seçimleri.
Araştırmacılar, “Bu aktörler, casusluk faaliyetlerini gerçekleştirmek için son derece yetenekli ve motive oldular” dedi. “Hedeflerin başarılı bir şekilde bulaşmasını izlemek için kullanılan kanarya jetonları gibi yeni tekniklerle MuddyWater, uyarlanabilirliklerini ve diğer uluslara saldırmaktan kaçınma isteksizliklerini kanıtladı.”
