İranlı hackerlar MacRos’tan yararlanırken, eski olan yine yeni

Muddywater saldırıları tipik olarak kimlik avı e -postaları ile başlar ve bu da ilk erişim için sosyal mühendisliğe büyük ölçüde dayanan Tahran tehdit aktörlerinin çoğunu temsil eder.

Ancak Grup-IB’den araştırmacılar, grubun kurşun geçirmez barındırma sağlayıcılarını kucaklamak, komut ve kontrol amaçları için daha özel kötü amaçlı yazılımlara kaymak da dahil olmak üzere diğer araçlarında, taktiklerinde ve prosedürlerinde büyük değişiklikler yaptığını söylüyor. Ayrıca uzun zamandır birincil silahlarından birine geri döndü: Microsoft MacRos.

ABD istihbarat teşkilatları, 2022’de Muddywater’ı İran İstihbarat ve Güvenlik Bakanlığı’na, ülkenin birincil istihbarat ajansı ve gizli polis gücüne bağladı. Earth Vetala, statik yavru kedi ve mango kum fırtınası olarak da bilinen Muddywater, en az 2017’den bu yana çok sayıda siber sorumluluk operasyonuna ve istihbarat mülkünün çalınmasına bağlı.

Kötü niyetli makrolar neredeyse bir hacker klişesidir. Uzun süredir saldırganlar, Excel elektronik tablolarının ve diğer ofis belgelerinin içinde çalışabilen uygulamalar için Visual Basic tarafından desteklenen minyatür uygulamalardan yararlandı. Microsoft uzun zamandır makroları bir kullanıcı özelliği olarak benimsedi ve sessiz bir tane olsa bile otomatik veri analizi ve raporlamanın temel taşı olarak kalıyorlar. Bilgi işlem devi, Makro Kullanımı çevresinde güvenceleri isteksizce artırdı ve Temmuz 2022’den başlayarak varsayılan olarak onları engelledi.

Mayıs 2023’te bildirilen Proofpoint, bu değişikliğin birçok bilgisayar korsanını kötü amaçlı makrolardan uzaklaşmaya zorladığı görülüyordu. Ancak kullanıcılar, kötü niyetli kodlarla bağlanmış belgeleri açmak ve çalıştırmak için ofis uygulamaları tarafından atılan güvenlik uyarılarını geçebileceğinden makro hacklemenin ilan edilen ölümü erkendir. Grup-IB önerisi, şirketlerin çoğu kullanıcının makro uygulamaları çalıştırmasını engellemesi ve yalnızca dijital bir imza taşıyan makrolara izin vermesidir.

Grup-Ib, Virustotal özellikli tuzak içeriği ve Phoenix arka kapısını yüklemek için tasarlanmış gömülü VBA makroları özelliklerinden elde edilen çamurlu su kötü niyetli belgelerin örneklerinin.

Makrolar tekrar Muddywaters saldırıları için bir başlangıç ​​enfeksiyon vektörü olarak bulunuyorsa, çıkışlarda grubun uzun süredir uzak izleme ve yönetim araçları kullanımıdır.

Grup-IB, son iki yılda, yüzlerce çamurlu su saldırısının bir hedefin e-posta hesabından ödün vermeyi ve bir RMM hesabıyla kaydolmayı ve bu tür saldırıların hacminin 2024’te zirveye çıktığını söyledi.

RMM araçlarını kullanmaktan uzaklaşmak dikkat çekicidir. 360 Tehdit İstihbarat Merkezi tarafından detaylandırıldığı gibi, Muddywater, 2020’de saldırı zincirinin bir parçası olarak “tam imzalı” ve meşru RMM araçlarını kullanmaya başladı, genellikle kurbanları RMM montajcılarını indirmek ve yürütmek için tasarlamak için tasarlanmış kimlik avı e -postalarına bağlantılar ekleyerek. Bu tür çabalara bağlı meşru yazılım, Atera, N-mümkün, Uzaktan Yardımcı Programlar, Screenconnect, SimpleHelp ve Syncro’yu içermektedir. Bu yazılım, saldırganların sistemlere uzaktan casusluk yapmasını, kurumsal ağların içinde yanal olarak hareket etmesini ve verileri pes ettirmelerini sağlar.

RMM yazılımını kullanmanın ötesinde, “saldırganlar Darkbeatc2, Phonyc2, Muddyc2go, Powerstats ve Moregent dahil olmak üzere diğer kötü amaçlı programların büyük bir cephaneliğine sahiptir” dedi.

Son zamanlarda kaynaklar, çabalarını desteklemek ve gizlemek için diğer meşru hizmet türlerini kullanmaya genişliyor gibi görünüyor. Grup-IB, “Altyapı analizi, kötü niyetli varlıklar barındırmak için Amazon Web Hizmetlerinin aktif olarak kullanıldığını ortaya koydu ve Cloudflare hizmetleri altyapı parmak izlerini gizlemek ve analizi engellemek için kullanıldı.” Dedi.

Saldırganlar, DigitalOcean, M247, OVH ve Sedo gibi ticari sağlayıcılardan Stark Industries gibi kurşun geçirmez barındırma sağlayıcılarına kadar çok çeşitli diğer altyapı kullanıyor.

Kurşun geçirmez barındırma, tipik olarak batı yayından kaldırma taleplerine uymayan ve müşterilerinin ne yaptıkları hakkında soru sormayan, böylece suçlulara ve ulus devlet gruplarına daha fazla anonimlik ve esneklik sunan altyapı operatörlerini ifade eder (bkz: bkz: bkz: ABD Yaptırımları Aeza Grubu, Infostealers, Fidye Yazılımına Ev sahipliği Yaptığı İçin).

Bu stratejiler çamurlu suların operasyonlarını gizlemesine yardımcı olur. Grup-IB, “Ayrıca, bazı işlemlerde grup, C2 sunucusunun çalışma süresini kasıtlı olarak birkaç gün ile sınırlar.” Dedi. Diyerek şöyle devam etti: “Bu taktik altyapılarını daha da gizliyor ve faaliyetlerini izleme çabalarını engelliyor.”

Son saldırılar ayrıca, enfekte uç noktalar ve C2 sunucuları arasındaki dosya transferlerini kolaylaştırmak için Bugsleep Backdoor’u, Bugsleep’i dağıtmak için bir Phoenix enjektörü, Gooler kötü amaçlı yazılım yükleyicisi ve gizli önbellek olarak izlenen gelişmiş bir arka kapı da dahil olmak üzere çeşitli daha gelişmiş kötü amaçlı yazılımlar içeriyordu.

2022’den itibaren bir Cisco Talos tehdit değerlendirmesi, grubun kurbanların ağına yönelik saldırılarının bir parçası olarak düzenli olarak fidye yazılımlarını düzenli olarak konuşlandırdığını buldu.

Talos, Muddywater’ın “dünyanın belirli bölgelerine karşı farklı hedefleme taktikleri kullanan her takımın” daha küçük takımlardan oluşan bir holding olduğu “ve araçlarını, taktiklerini ve prosedürlerini birbirleriyle paylaştığını söyledi. Gruplar, gereksinimler değiştikçe farklı gruplar arasında hareket eden yükleniciler de görevlendirilebilir.

Bu crossover, İran APT gruplarının MOI ve İslam Devrim Muhafız Kolordusu gibi farklı hükümet kuruluşlarına atfedilmesine yol açtı ve bazen örtüşen TTP’leri paylaştı.

Haziran ayında ABD hükümeti, İranlı siber aktörlerin İran nükleer silah kalkınma alanlarına ve Tahran ve İsrail arasındaki yazlık bir yaz çıkışına saldırdıktan sonra kritik altyapı riskiyle karşı karşıya olduğu konusunda uyardı.