Microsoft 威胁情报团队近日发布报告称,名为MuddyWater的伊朗民族国家组织以勒索软件操作为幌子对混合环境进行破坏性攻击。
该团队发现威胁参与者与另一个名为DEV-1084的新兴活动集群合作,在 MuddyWater 成功进入目标环境后实施了破坏性行动,同时针对本地和云基础设施。
“虽然威胁行为者试图将活动伪装成标准的勒索软件活动,但不可恢复的行为表明破坏和破坏是该行动的最终目标,”这家科技巨头周五透露。
MuddyWater是美国政府公开与该国情报和安全部 (MOIS) 建立联系的伊朗演员的名字。众所周知,它至少从 2017 年开始活跃。
它也被网络安全社区以各种名称跟踪,包括 Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mercury、Seedworm、Static Kitten、TEMP.Zagros 和 Yellow Nix。
网络安全公司 Secureworks 在其对 Cobalt Ulster 的简介中指出,在威胁行为者领域,“将虚假标志注入与其操作相关的代码”作为分散注意力以试图混淆归因工作的情况并不少见。
该组织发动的攻击主要针对中东国家,过去一年观察到的入侵利用 Log4Shell 漏洞破坏以色列实体。
微软的最新调查结果显示,MuddyWater威胁行为者可能与 DEV-1084 合作实施了间谍攻击,后者在 MuddyWater 成功进入目标环境后实施了破坏性行动
“Mercury 可能利用未打补丁的应用程序中的已知漏洞进行初始访问,然后移交对 DEV-1084 的访问以执行广泛的侦察和发现、建立持久性并在整个网络中横向移动,通常需要等待数周甚至数月才能进入下一阶段, ”微软说。
在 Redmond 检测到的活动中,DEV-1084 随后滥用高特权受损凭据对本地设备进行加密并大规模删除云资源,包括服务器场、虚拟机、存储帐户和虚拟网络。
此外,威胁行为者通过 Exchange Web 服务获得了对电子邮件收件箱的完全访问权限,使用它执行“数千次搜索活动”并冒充一名未具名的高级员工向内部和外部收件人发送消息。
据估计,上述行为发生在大约三个小时的时间范围内,从凌晨 12 点 38 分(当攻击者通过泄露的凭据登录到 Microsoft Azure 环境时)到凌晨 3 点 21 分(当攻击者向云中断成功后的其他方)。
此处值得注意的是,DEV-1084 指的是同一威胁行为者,该行为者在 2 月份以“DarkBit”身份参与了针对以色列领先研究型大学 Technion 的勒索软件和勒索攻击。上个月,以色列国家网络局将此次攻击归咎于 MuddyWater 。
“DEV-1084将自己描绘成一个对敲诈勒索感兴趣的犯罪分子,可能是为了混淆伊朗与这次袭击的联系和战略动机,”微软补充道。
Mercury 和 DEV-1084 之间的联系源于基础设施、IP 地址和工具重叠,后者使用称为 Ligolo 的反向隧道实用程序观察到,Ligolo 是MuddyWater的主要工件。
也就是说,没有足够的证据可以确定 DEV-1084 是否独立于 MuddyWater 运作并与其他伊朗演员合作,或者它是否是一个仅在需要进行破坏性攻击时才被召集的子团队。
去年初,Cisco Talos将 MuddyWater描述为一个由几个较小的集群组成的“联合企业”,而不是一个单一的、有凝聚力的集团。DEV-1084 的出现暗示了朝这个方向的点头。
Talos 在 2022 年 3 月指出:“虽然这些团队似乎独立运作,但他们的动机都是符合伊朗国家安全目标的相同因素,包括间谍活动、知识盗窃以及基于他们所针对的受害者的破坏性或破坏性行动。”
原文始发于微信公众号(安全客):伊朗APT组织在勒索软件的幌子下进行破坏性攻击
