İran bağlantılı MuddyWater tehdit aktörü, yeni bir spear-phishing faaliyetinin bir parçası olarak Orta Doğu'nun yanı sıra Orta ve Batı Asya'daki çeşitli ülkeleri hedef alırken gözlemlendi.
Deep Instinct araştırmacısı Simon Kenin teknik bir yazıda, "Kampanya Ermenistan, Azerbaycan, Mısır, Irak, İsrail, Ürdün, Umman, Katar, Tacikistan ve Birleşik Arap Emirlikleri'ni hedef aldı" dedi.
Boggy Serpens, Cobalt Ulster, Earth Vetala, Mercury, Seedworm, Static Kitten ve TEMP.Zagros olarak da adlandırılan MuddyWater'ın İran İstihbarat ve Güvenlik Bakanlığı (MOIS) içinde bir alt unsur olduğu söyleniyor.
En az 2017'den beri aktif olan casusluk grubunun düzenlediği saldırılar genellikle telekomünikasyon, hükümet, savunma ve petrol sektörlerini hedef alıyor.
Mevcut saldırı seti, MuddyWater'ın doğrudan Dropbox bağlantıları veya bir ZIP arşiv dosyasına işaret eden gömülü bir URL içeren belge ekleri içeren kimlik avı yemlerini kullanma şeklindeki uzun süredir devam eden modus operandi'yi takip ediyor.
Burada mesajların, Xleet, Odin, Xmina ve Lufix gibi webmail dükkanları tarafından darknet üzerinde hesap başına 8 ila 25 dolar arasında satışa sunulan, zaten ele geçirilmiş kurumsal e-posta hesaplarından gönderildiğini belirtmek gerekir.
Arşiv dosyaları daha önce ScreenConnect ve RemoteUtilities gibi yasal araçların yükleyicilerini barındırırken, aktörün radara yakalanmamak için Temmuz 2022'de Atera Agent'a geçtiği görüldü.
Ancak kampanyanın aktif olarak sürdürüldüğünün ve güncellendiğinin bir başka işareti olarak, saldırı taktikleri Syncro adlı farklı bir uzaktan yönetim aracı sunmak için bir kez daha değiştirildi.
Entegre MSP yazılımı, bir makineyi tamamen kontrol etmenin bir yolunu sunarak, düşmanın keşif yapmasına, ek arka kapılar yerleştirmesine ve hatta diğer aktörlere erişim satmasına olanak tanır.
Kenin, "Bu tür yetenekler aracılığıyla kurumsal bir makineye erişimi olan bir tehdit aktörü neredeyse sınırsız seçeneğe sahiptir" dedi.
Bulgular, Deep Instinct'in Polonium olarak izlenen Lübnan merkezli bir grup tarafından yalnızca İsrail kuruluşlarını hedef alan saldırılarında kullanılan yeni kötü amaçlı yazılım bileşenlerini de ortaya çıkarmasıyla birlikte geldi.
Microsoft Haziran 2022'de "Polonium, kurban örtüşmesine ve [bir dizi] ortak teknik ve araçlara dayanarak operasyonlarını İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı birden fazla izlenen aktör grubuyla koordine ediyor" dedi.
hackernews'dan alıntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder