Спонсируемая государством иранская хакерская группа начала атаковать высокопоставленные цели в Турции.

На этой неделе исследователи кибербезопасности из Cisco Talos заявили, что MuddyWater, группа продвинутых постоянных угроз (APT), имеющая связи с Министерством разведки и безопасности Ирана (MOIS), была связана с кампаниями против частных организаций в Турции наряду с правительством страны.

Активный как минимум с 2017 года, MuddyWater, также известный как Mercury или Static Kitten, в прошлом был связан с атаками на организации в США, Израиле, Европе и на Ближнем Востоке.

Ранее в этом году Киберкомандование США связало APT с иранским правительством, заявив, что MuddyWater является одной из многих групп, «ведущих иранскую разведывательную деятельность».

«MuddyWater — подчиненный элемент MOIS, — говорит Киберкомандование США. «По данным Исследовательской службы Конгресса, MOIS «проводят внутреннюю слежку для выявления противников режима. Они также следит за активистами, выступающими против режима, за границей через свою сеть агентов, размещенных в посольствах Ирана».

В соответствии с Исследователи Талоса Ашир Малхотра и Витор Вентура, последняя кампания MuddyWater, начавшаяся в ноябре 2021 года, использует вредоносные PDF-файлы и документы Microsoft Office в качестве начального вектора атаки.

Фишинговые электронные письма, содержащие эти вредоносные вложения, подделываются под видом министерств здравоохранения и внутренних дел Турции. Цели включали Совет по научным и технологическим исследованиям Турции (Tubitak).

Вредоносные документы содержали встроенные макросы VBA, предназначенные для запуска сценария PowerShell, что приводило к выполнению загрузчика для выполнения произвольного кода, созданию ключей реестра для сохранения и использованию двоичных файлов Living Off the Land (LOLBins) что приводило к захвату ПК.

Оказавшись внутри целевой системы, MuddyWater имеет тенденцию сосредотачиваться на трех целях: осуществление кибершпионажа в интересах государства; По словам Талоса, кража интеллектуальной собственности с высокой экономической ценностью и развертывание программ-вымогателей для преднамеренного нарушения работы операторов организации-жертвы или «уничтожения доказательств их вторжений».

APT также приняла канареечные токены для отслеживания своих вторжений. Токены Canary — это цифровые «канареечки», предупреждающие об открытии файла, которые часто используются защитниками для обнаружения и отслеживания возможных нарушений.

В бюллетене, выпущенном Trakya и Турецким национальным центром реагирования на кибер-инциденты (USOM), содержится предупреждение об атаке на уровне APT, в которой перечислены IP-адреса и адреса электронной почты, которые также были обнаружены в ходе анализа Talos этой кампании.