Croc

Иранская APT MuddyWater атаковала операторов связи на Ближнем Востоке

Иранская APT MuddyWater атаковала операторов связи на Ближнем Востоке Иранская APT MuddyWater атаковала операторов связи на Ближнем Востоке Иранская APT MuddyWater атаковала операторов связи на Ближнем Востоке
15.12.2021

Специалисты компании Symantec сообщили о кампании кибершпионажа иранской APT-группировки MuddyWater, нацеленной на операторов связи, IT-компании и коммунальные предприятия на Ближнем Востоке и в других частях Азии,  сообщает SecurityLab.

Группировка MuddyWater (также известная как Seedworm, MERCURY и Static Kitten) была обнаружена в 2017 году и известна своими атаками на цели на Ближнем Востоке.

В рамках новой кампании, которую исследователи Symantec отслеживали в течение последних шести месяцев, злоумышленники атаковали многочисленные организации в Израиле, Иордании, Кувейте, Лаосе, Пакистане, Саудовской Аравии, Таиланде и Объединенных Арабских Эмиратах. В ходе атак использовались легитимные инструменты, тактика living-off-the-land и общедоступные образцы вредоносных программ.

После первоначальной компрометации злоумышленники пытаются украсть учетные данные и выполнить перемещение по сети жертвы, сосредоточившись на развертывании web-оболочек на серверах Microsoft Exchange. В некоторых случаях скомпрометированные среды использовались для проведения атак на дополнительные организации, в то время как некоторые компании стали целями в ходе атак на цепочки поставок.

Первоначальный вектор заражения в большинстве случаев неизвестен, но одна цель, похоже, была скомпрометирована с помощью вредоносного файла MSI, доставленного в архиве электронного фишингового письма.

При атаке на поставщика телекоммуникационных услуг файлы Windows Script File (WSF) применялись для разведки и выполнения команд, а утилита Certutil использовалась для развертывания инструмента туннелирования и запуска набора инструментов WMI, а затем загрузки и выполнения web-оболочки на сервере Exchange.

Хакеры в значительной степени полагались на скрипты для автоматизации операций по сбору информации, а также на инструмент удаленного доступа для выполнения дампа Local Security Authority Subsystem Service (LSASS), доставки инструментов туннелирования и запроса URL-адреса из другой скомпрометированной среды.

При атаке на коммунальную компанию в Лаосе web-сервер IIS, предположительно, выполнял роль точки входа. Затем злоумышленники использовали свой плацдарм для атак на сервер web-почты и IT-серверы двух компаний в Таиланде.


Комментарии 0