Jump to content

Иранская APT MuddyWater атаковала операторов связи на Ближнем Востоке


security147

Recommended Posts

Иранская APT MuddyWater атаковала операторов связи на Ближнем Востоке

14:59 / 14 Декабря, 2021 2021-12-14T15:59:11+03:00

Alexander Antipov

В ходе атак использовались легитимные инструменты, тактика living-off-the-land и общедоступные вредоносы.

https://www.securitylab.ru/upload/iblock/501/501c710c98ed9e76d66107745fcbab77.jpg

Специалисты компании Symantec сообщили о кампании кибершпионажа иранской APT-группировки MuddyWater, нацеленной на операторов связи, IT-компании и коммунальные предприятия на Ближнем Востоке и в других частях Азии.

Группировка MuddyWater (также известная как Seedworm, MERCURY и Static Kitten) была обнаружена в 2017 году и известна своими атаками на цели на Ближнем Востоке.

В рамках новой кампании, которую исследователи Symantec отслеживали в течение последних шести месяцев, злоумышленники атаковали многочисленные организации в Израиле, Иордании, Кувейте, Лаосе, Пакистане, Саудовской Аравии, Таиланде и Объединенных Арабских Эмиратах. В ходе атак использовались легитимные инструменты, тактика living-off-the-land и общедоступные образцы вредоносных программ.

После первоначальной компрометации злоумышленники пытаются украсть учетные данные и выполнить перемещение по сети жертвы, сосредоточившись на развертывании web-оболочек на серверах Microsoft Exchange. В некоторых случаях скомпрометированные среды использовались для проведения атак на дополнительные организации, в то время как некоторые компании стали целями в ходе атак на цепочки поставок.

Первоначальный вектор заражения в большинстве случаев неизвестен, но одна цель, похоже, была скомпрометирована с помощью вредоносного файла MSI, доставленного в архиве электронного фишингового письма.

При атаке на поставщика телекоммуникационных услуг файлы Windows Script File (WSF) применялись для разведки и выполнения команд, а утилита Certutil использовалась для развертывания инструмента туннелирования и запуска набора инструментов WMI, а затем загрузки и выполнения web-оболочки на сервере Exchange.

Хакеры в значительной степени полагались на скрипты для автоматизации операций по сбору информации, а также на инструмент удаленного доступа для выполнения дампа Local Security Authority Subsystem Service (LSASS), доставки инструментов туннелирования и запроса URL-адреса из другой скомпрометированной среды.

При атаке на коммунальную компанию в Лаосе web-сервер IIS, предположительно, выполнял роль точки входа. Затем злоумышленники использовали свой плацдарм для атак на сервер web-почты и IT-серверы двух компаний в Таиланде.


ИИ позволяет создать оружие будущего, а сотрудников госдепа США взломали, еще и кубинские хакеры влезли в КИИ. Смотрите наш новый ролик и участвуйте в конкурсах с крутыми призами!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...