W listopadzie 2021 r. odkryto, że irański podmiot zajmujący się atakami geopolitycznymi rozmieścił dwa nowe ukierunkowane złośliwe oprogramowania, które zawierały „proste” funkcje backdoora.
Wtedy firma Mandiant zajmująca się cyberbezpieczeństwem przypisała atak nieskategoryzowanemu podmiotowi, który został oznaczony pseudonimem UNC3313. Został on z „umiarkowaną pewnością” powiązany z grupą sponsorowaną przez państwo irańskiego o nazwie „MuddyWater”.
„UNC3313 prowadzi inwigilację i zbiera strategiczne informacje, aby wspierać irańskie interesy i podejmowanie decyzji” – powiedzieli badacze Ryan Tomcik, Emiel Haeghebaert i Tufail Ahmed. „Wzory celowania i związane z nimi przynęty wskazują na silne skupienie się na celach z geopolitycznym powiązaniem”.
W połowie stycznia 2022 amerykańskie agencje wywiadowcze scharakteryzowały MuddyWater (znane również jako Static Kitten, Seedworm, TEMP.Zagros lub Mercury) jako podległy element irańskiego Ministerstwa Wywiadu i Bezpieczeństwa (MOIS), który jest aktywny od co najmniej 2018 roku i jest znany z korzystania z szerokiej gamy narzędzi i technik w swoich działaniach.
Mówi się, że przez lata ataki zostały zorganizowane za pomocą wiadomości typu spear-phishing, aby uzyskać wstępny dostęp. Następnie wykorzystano publicznie dostępne złośliwe narzędzia (CrackMapExec, LIGOLO) i oprogramowanie do zdalnego dostępu (ScreenConnect) do ruchu bocznego i utrzymania dostępu w środowisku.
E-maile phishingowe zostały stworzone z myślą o ofertach pracy i oszukały wiele ofiar. Po kliknięciu w URL pobierany był plik archiwum RAR hostowany na OneHub, co utorowało drogę do instalacji ScreenConnect, legalnego oprogramowania do zdalnego dostępu, które pozwala zdobyć przyczółek. UNC3313 działa szybko, aby ustanowić zdalny dostęp za pomocą ScreenConnect w ciągu godziny od fazy początkowego włamania.
Kolejne fazy ataku obejmowały eskalację uprawnień, przeprowadzenie wewnętrznego rozpoznania w docelowej sieci oraz uruchomienie zaciemnionych poleceń PowerShell w celu pobrania dodatkowych narzędzi i ładunków.
Poniżej znajduje się lista znanych narzędzi, z których korzysta grupa MuddyWater:
- GRAMDOOR – backdoor napisany w Pythonie, który używa interfejsu API aplikacji Telegram do komunikacji przez HTTP z serwerem Telegrama. Obsługiwane polecenia obejmują wykonywanie poleceń za pośrednictwem cmd.
- STARWHALE – jest backdoorem Windows Script File (WSF), który komunikuje się przez HTTP. Obsługiwane polecenia obejmują wykonywanie poleceń powłoki i zbieranie informacji o systemie.
- STARWHALE.GO – backdoor napisany w języku programowania GO, który komunikuje się przez HTTP. Backdoor może wykonywać polecenia powłoki i zbierać informacje o systemie, takie jak lokalny adres IP, nazwa komputera i nazwa użytkownika. Napisany w języku mało popularnym i często trudnym do zrozumienia i analizy.
- CRACKMAPEXEC – narzędzie post-eksploit, które pomaga zautomatyzować ocenę bezpieczeństwa dużych sieci Active Directory. Pisaliśmy o nim w artykule tutaj.
Wykorzystanie API Telegrama do komunikacji z serwerem C&C pozwala na połączenie złośliwego ruchu z uzasadnionym zachowaniem użytkownika. W połączeniu z wykorzystaniem legalnego oprogramowania do zdalnego dostępu, publicznie dostępnych narzędzi, takich jak LIGOLO i CrackMapExec oraz wielowarstwowej procedury kodowania, Mandiant uważa, że odzwierciedla to wysiłki grupy TEMP.Zagros w celu uniknięcia wykrycia i obejścia zabezpieczeń. Nie jest jasne, w jaki sposób niedawne publiczne przypisanie przez rząd USA „MuddyWater” irańskiemu Ministerstwu Wywiadu i Bezpieczeństwa wpłynie na operacje grupy. Jest prawdopodobne, że grupa może przebudować i zmienić swoją taktykę, techniki i procedury przed przeprowadzeniem dodatkowych operacji.
Ustalenia zbiegają się również z nowym wspólnym zaleceniem agencji ds. cyberbezpieczeństwa z Wielkiej Brytanii i USA, oskarżającym grupę MuddyWater o ataki szpiegowskie wymierzone w sektor obrony, ropy i gazu ziemnego oraz sektor telekomunikacyjny na całym świecie.