El grupo de estado-nación iraní conocido como MuddyAgua se ha observado que lleva a cabo ataques destructivos en entornos híbridos bajo la apariencia de una operación de ransomware.
Eso es según los nuevos hallazgos del equipo de Microsoft Threat Intelligence, que descubrió que el actor de amenazas se dirige tanto a infraestructuras locales como en la nube en asociación con otro grupo de actividad emergente denominado DEV-1084.
«Si bien los actores de la amenaza intentaron enmascarar la actividad como una campaña de ransomware estándar, las acciones irrecuperables muestran que la destrucción y la interrupción eran los objetivos finales de la operación», dijo el gigante tecnológico. reveló Viernes.
MuddyWater es el nombre asignado a un actor con sede en Irán que el gobierno de EE. UU. ha conectado públicamente con el Ministerio de Inteligencia y Seguridad (MOIS) del país. Se sabe que está activo desde al menos 2017.
La comunidad de ciberseguridad también lo rastrea con varios nombres, incluidos Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros y Yellow Nix.
Los ataques montados por el grupo se han centrado principalmente en las naciones del Medio Oriente, con intrusiones observadas durante el año pasado aprovechando la falla de Log4Shell para violar las entidades israelíes.
Los últimos hallazgos de Microsoft revelan que el actor de amenazas probablemente trabajó junto con DEV-1084 para llevar a cabo el ataque, el último de los cuales llevó a cabo las acciones destructivas después de que MuddyWater se afianzara con éxito en el entorno objetivo.
«Mercury probablemente explotó vulnerabilidades conocidas en aplicaciones sin parches para el acceso inicial antes de entregar el acceso a DEV-1084 para realizar un amplio reconocimiento y descubrimiento, establecer la persistencia y moverse lateralmente a través de la red, a menudo esperando semanas y, a veces, meses antes de pasar a la siguiente etapa. «Microsoft dijo.
En la actividad detectada por Redmond, DEV-1084 abusó posteriormente de credenciales comprometidas altamente privilegiadas para realizar el cifrado de dispositivos locales y la eliminación a gran escala de recursos de la nube, incluidas granjas de servidores, máquinas virtuales, cuentas de almacenamiento y redes virtuales.
Además, los actores de amenazas obtuvieron acceso total a las bandejas de entrada de correo electrónico a través de Exchange Web Services, usándolo para realizar «miles de actividades de búsqueda» y hacerse pasar por un empleado anónimo de alto rango para enviar mensajes a destinatarios internos y externos.
Se estima que todas estas acciones ocurrieron durante un período de aproximadamente tres horas que comenzó a las 12:38 am (cuando el atacante inició sesión en el entorno de Microsoft Azure a través de credenciales comprometidas) y finalizó a las 3:21 am (cuando el atacante envió correos electrónicos a otras partes después de la exitosa interrupción de la nube).
Vale la pena señalar aquí que DEV-1084 se refiere al mismo actor de amenazas eso ficticio el personaje «DarkBit» como parte de un ataque de ransomware y extorsión dirigido a Technion, una universidad de investigación líder en Israel, en febrero. La Dirección Cibernética Nacional de Israel, el mes pasado, atribuido el ataque a MuddyWater.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
«DEV-1084 […] se presentó como un actor criminal interesado en la extorsión, probablemente como un intento de ofuscar el vínculo de Irán y la motivación estratégica para el ataque”, agregó Microsoft.
Los enlaces entre Mercury y DEV-1084 se originan a partir de superposiciones de infraestructura, dirección IP y herramientas, y esta última se observa utilizando una utilidad de tunelización inversa llamada lígoloun artefacto básico de MuddyWater.
Dicho esto, no hay suficiente evidencia para determinar si DEV-1084 opera independientemente de MuddyWater y colabora con otros actores iraníes, o si es un subequipo que solo se convoca cuando es necesario realizar un ataque destructivo.
Cisco Talos, a principios del año pasado, describió a MuddyWater como un «conglomerado» que comprende varios grupos más pequeños en lugar de un solo grupo cohesivo. La aparición de DEV-1084 sugiere un guiño en esta dirección.
“Si bien estos equipos parecen operar de forma independiente, todos están motivados por los mismos factores que se alinean con los objetivos de seguridad nacional iraní, incluido el espionaje, el robo intelectual y las operaciones destructivas o perturbadoras basadas en las víctimas a las que apuntan”, señaló Talos en marzo de 2022.