Irańscy hakerzy atakują Turcję i Półwysep Arabski w ramach nowej kampanii złośliwego oprogramowania

Sponsorowane przez państwo irańskie zagrożenie znane jako MuddyWater zostało przypisane nowej fali ataków wymierzonych w Turcję i Półwysep Arabski w celu rozmieszczenia trojanów zdalnego dostępu (RAT) na zhakowanych systemach.

„Supergrupa MuddyWater jest bardzo zmotywowana i może wykorzystywać nieautoryzowany dostęp do prowadzenia szpiegostwa, kradzieży własności intelektualnej oraz wdrażania oprogramowania ransomware i destrukcyjnego złośliwego oprogramowania w przedsiębiorstwie” – powiedzieli badacze Cisco Talos, Asheer Malhotra, Vitor Ventura i Arnaud Zobec w opublikowanym dzisiaj raporcie.

Grupa, która działa od co najmniej 2017 roku, znana jest z ataków na różne sektory, które pomagają dalej realizować cele geopolityczne i bezpieczeństwa narodowego Iranu. W styczniu 2022 r. Amerykańskie Dowództwo Cybernetyczne przypisało ją Ministerstwu Wywiadu i Bezpieczeństwa (MOIS).

Uważa się również, że MuddyWater jest „konglomeratem wielu zespołów działających niezależnie, a nie pojedynczą grupą podmiotów zajmujących się cyberbezpieczeństwem”, dodała firma zajmująca się cyberbezpieczeństwem, czyniąc z niej parasolowego aktora w stylu Winnti , chińskiego zaawansowanego trwałego zagrożenia (APT).

Najnowsze kampanie podjęte przez ekipę hakerską polegają na wykorzystaniu dokumentów zawierających złośliwe oprogramowanie, dostarczanych za pośrednictwem wiadomości phishingowych w celu wdrożenia trojana zdalnego dostępu o nazwie SloughRAT (znanego również jako Canopy firmy CISA), zdolnego do wykonywania dowolnego kodu i poleceń otrzymanych z jego funkcji dowodzenia i kontroli ( C2) serwery.

Maldoc, plik Excela zawierający złośliwe makro, powoduje, że łańcuch infekcji upuszcza dwa pliki skryptów systemu Windows (.WSF) na punkcie końcowym, z których pierwszy działa jako narzędzie do wywoływania i wykonywania ładunku następnego etapu.

Odkryto również dwa dodatkowe implanty oparte na skryptach, jeden napisany w Visual Basic, a drugi zakodowany w JavaScript, z których oba zostały zaprojektowane do pobierania i uruchamiania złośliwych poleceń na zaatakowanym hoście.

Co więcej, najnowszy zestaw włamań jest kontynuacją kampanii z listopada 2021 roku , która uderzyła tureckie organizacje prywatne i instytucje rządowe backdoorami opartymi na PowerShell w celu zebrania informacji od swoich ofiar, nawet jeśli eksponaty pokrywają się z inną kampanią, która miała miejsce w marcu 2021 roku.

Cechy wspólne taktyk i technik przyjętych przez operatorów wskazują na możliwość, że ataki te są „odrębnymi, ale powiązanymi skupiskami działań”, przy czym kampanie wykorzystują „szerszy paradygmat współdzielenia TTP, typowy dla skoordynowanych zespołów operacyjnych”, naukowcy odnotowany.

W drugiej częściowej sekwencji ataku obserwowanej przez Cisco Talos między grudniem 2021 a styczniem 2022, przeciwnik skonfigurował zaplanowane zadania w celu pobrania szkodliwych programów pobierających opartych na VBS, które umożliwiają wykonanie ładunków pobranych ze zdalnego serwera. Wyniki polecenia są następnie eksportowane z powrotem na serwer C2.

„Chociaż dzielą one pewne techniki, kampanie te oznaczają również indywidualność w sposobie, w jaki zostały przeprowadzone, wskazując na istnienie wielu podgrup pod parasolem Muddywater – wszystkie dzielące pulę taktyk i narzędzi do wyboru” – podsumowali naukowcy. .

Podziel się postem:

Najnowsze:

Oprogramowanie

Kompilator JIT w PHP. Czy to szansa na przyspieszenie stron i sklepów?

PHP jako język interpretowany od dawna zmagał się z trudnym zadaniem poprawy swojej wydajności, szczególnie na tle konkurencyjnych języków programowania używanych w rozwiązaniach webowych. Pośród tego co nowe w PHP 8 na szczególną uwagę zasługuje kompilator JIT, który zdecydowano się oficjalnie dołączyć do najnowszej wersji.

Oprogramowanie

LibreOffice 24.8.2 dostępny do pobrania. Usunięto ponad 80 błędów

LibreOffice 24.8.2 to kolejna aktualizacja darmowego pakietu biurowego, którą warto zainstalować, by ułatwić sobie codzienną pracę. W oprogramowaniu usunięto ponad 80 błędów i zadbano o jeszcze lepszą zgodność ze znanymi formatami dokumentów. LibreOffice ma też działać stabilniej.

Oprogramowanie

Zen Browser – bardzo ciekawa alternatywa dla Firefoxa

Rynek przeglądarek można podzielić na pierwszą ligę – gdzie znajdziemy Chrome, Edge, Safari oraz Firefoxa – oraz drugą (gdzie umieściłbym Vivaldi, Operę i podobne przeglądarki), a także “poczekalnię”, w której propozycje od mniej znanych firm dopiero raczkują. Zen Browser znajduje się w tej ostatniej kategorii, a właśnie ukazała się jej wersja 1.0.0 Alpha. I już zwraca uwagę ciekawymi rozwiązaniami.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *