Irańscy hakerzy atakują Turcję i Półwysep Arabski w ramach nowej kampanii złośliwego oprogramowania

Sponsorowane przez państwo irańskie zagrożenie znane jako MuddyWater zostało przypisane nowej fali ataków wymierzonych w Turcję i Półwysep Arabski w celu rozmieszczenia trojanów zdalnego dostępu (RAT) na zhakowanych systemach.

„Supergrupa MuddyWater jest bardzo zmotywowana i może wykorzystywać nieautoryzowany dostęp do prowadzenia szpiegostwa, kradzieży własności intelektualnej oraz wdrażania oprogramowania ransomware i destrukcyjnego złośliwego oprogramowania w przedsiębiorstwie” – powiedzieli badacze Cisco Talos, Asheer Malhotra, Vitor Ventura i Arnaud Zobec w opublikowanym dzisiaj raporcie.

Grupa, która działa od co najmniej 2017 roku, znana jest z ataków na różne sektory, które pomagają dalej realizować cele geopolityczne i bezpieczeństwa narodowego Iranu. W styczniu 2022 r. Amerykańskie Dowództwo Cybernetyczne przypisało ją Ministerstwu Wywiadu i Bezpieczeństwa (MOIS).

Uważa się również, że MuddyWater jest „konglomeratem wielu zespołów działających niezależnie, a nie pojedynczą grupą podmiotów zajmujących się cyberbezpieczeństwem”, dodała firma zajmująca się cyberbezpieczeństwem, czyniąc z niej parasolowego aktora w stylu Winnti , chińskiego zaawansowanego trwałego zagrożenia (APT).

Najnowsze kampanie podjęte przez ekipę hakerską polegają na wykorzystaniu dokumentów zawierających złośliwe oprogramowanie, dostarczanych za pośrednictwem wiadomości phishingowych w celu wdrożenia trojana zdalnego dostępu o nazwie SloughRAT (znanego również jako Canopy firmy CISA), zdolnego do wykonywania dowolnego kodu i poleceń otrzymanych z jego funkcji dowodzenia i kontroli ( C2) serwery.

Maldoc, plik Excela zawierający złośliwe makro, powoduje, że łańcuch infekcji upuszcza dwa pliki skryptów systemu Windows (.WSF) na punkcie końcowym, z których pierwszy działa jako narzędzie do wywoływania i wykonywania ładunku następnego etapu.

Odkryto również dwa dodatkowe implanty oparte na skryptach, jeden napisany w Visual Basic, a drugi zakodowany w JavaScript, z których oba zostały zaprojektowane do pobierania i uruchamiania złośliwych poleceń na zaatakowanym hoście.

Co więcej, najnowszy zestaw włamań jest kontynuacją kampanii z listopada 2021 roku , która uderzyła tureckie organizacje prywatne i instytucje rządowe backdoorami opartymi na PowerShell w celu zebrania informacji od swoich ofiar, nawet jeśli eksponaty pokrywają się z inną kampanią, która miała miejsce w marcu 2021 roku.

Cechy wspólne taktyk i technik przyjętych przez operatorów wskazują na możliwość, że ataki te są „odrębnymi, ale powiązanymi skupiskami działań”, przy czym kampanie wykorzystują „szerszy paradygmat współdzielenia TTP, typowy dla skoordynowanych zespołów operacyjnych”, naukowcy odnotowany.

W drugiej częściowej sekwencji ataku obserwowanej przez Cisco Talos między grudniem 2021 a styczniem 2022, przeciwnik skonfigurował zaplanowane zadania w celu pobrania szkodliwych programów pobierających opartych na VBS, które umożliwiają wykonanie ładunków pobranych ze zdalnego serwera. Wyniki polecenia są następnie eksportowane z powrotem na serwer C2.

„Chociaż dzielą one pewne techniki, kampanie te oznaczają również indywidualność w sposobie, w jaki zostały przeprowadzone, wskazując na istnienie wielu podgrup pod parasolem Muddywater – wszystkie dzielące pulę taktyk i narzędzi do wyboru” – podsumowali naukowcy. .

Podziel się postem:

Najnowsze:

Mobilne

Gemini Live już dostępne po polsku!

Google nieustannie rozwija swoje produkty i usługi, a jednym z najciekawszych jest Gemini – zaawansowany model sztucznej inteligencji, który oferuje szeroki wachlarz możliwości. Od niedawna Gemini Live, czyli funkcja umożliwiająca swobodną rozmowę z AI, jest dostępna w języku polskim! Co to oznacza dla polskich użytkowników i jak można wykorzystać tę nową funkcjonalność?

Bezpieczeństwo

Luka w zabezpieczeniach BitLockera w Windows 11: Czy Twoje dane są bezpieczne?

Szyfrowanie dysków to jedna z podstawowych metod ochrony danych w erze cyfrowej. Użytkownicy systemów Windows często korzystają z wbudowanego narzędzia BitLocker, aby zabezpieczyć swoje poufne informacje przed niepowołanym dostępem. Jednak ostatnie doniesienia z Chaos Communication Congress (CCC) w Niemczech wskazują na poważną lukę w zabezpieczeniach BitLockera w systemie Windows 11, która może narazić dane użytkowników na ryzyko.

Bezpieczeństwo

Złamanie Enigmy: Przełomowy moment w historii kryptologii

Złamanie szyfru Enigmy przez polskich kryptologów na przełomie grudnia 1932 i stycznia 1933 roku to jedno z najważniejszych wydarzeń w historii kryptologii i II wojny światowej. Ten artykuł skupia się na wydarzeniach z tego okresu, które doprowadziły do przełomowego momentu w dekryptażu niemieckiej maszyny szyfrującej. Niemcy, przekonani o niemożliwości złamania Enigmy, używali jej do zabezpieczania tajnej korespondencji wojskowej i dyplomatycznej. Sukces polskich matematyków, Mariana Rejewskiego, Jerzego Różyckiego i Henryka Zygalskiego, dał aliantom ogromną przewagę, umożliwiając odczytywanie niemieckich komunikatów i przewidywanie ich ruchów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *