2021年11月,一名伊朗地缘政治关系威胁参与者被发现部署了两款带有“简单”后门功能的新的目标恶意软件,作为对一个未具名的中东政府实体的入侵的一部分。
网络安全公司Mandiant将这次攻击归因于一个代号为UNC3313的未分类集群,该集群与MuddyWater政府资助的组织有“适度的关联”。
研究人员Ryan Tomcik、Emiel Haeghebaert和Tufail Ahmed说:“UNC3313进行监视和收集战略信息,以支持伊朗的利益和决策。”“锁定模式和相关诱饵显示出对具有地缘政治联系的目标的强烈关注。”
在2022年1月中旬,美国情报机构MuddyWater特征(即静态小猫,Seedworm、TEMP.Zagros或汞)作为伊朗情报和安全部门的下属元素(月),至少是2018年以来一直积极和已知使用各种工具和技术的操作。
据称,这些攻击是通过鱼叉式网络钓鱼信息精心策划的,目的是获得初步访问权限,然后利用公开可用的攻击性安全工具和远程访问软件进行横向移动,并保持对环境的访问。
这些网络钓鱼邮件以职位晋升为诱饵,诱使多名受害者点击一个URL,下载驻留在OneHub上的RAR存档文件,从而为安装合法的远程访问软件ScreenConnect铺平了道路。
研究人员指出:“UNC3313迅速采取行动,通过使用ScreenConnect在最初的一个小时内渗透系统,建立远程访问,”并补充说,安全事件迅速得到控制和补救。
攻击的后续阶段包括升级特权,对目标网络进行内部侦察,并运行模糊的PowerShell命令在远程系统上下载额外的工具和有效负载。
我们还观察到一个以前没有记录的后门程序STARWHALE,它是一个Windows脚本文件(. wsf),可以执行通过HTTP从硬编码的命令控制(C2)服务器接收到的命令。
另一个植入交付过程中攻击GRAMDOOR,由于其使用电报的API与attacker-controlled服务器的网络通信,以逃避检测,再次强调了使用通信工具促进漏出的数据。
与此同时,英国和美国的网络安全机构发布了一份新的联合报告,指责MuddyWater集团对全球各地的国防、地方政府、石油和天然气以及电信行业进行间谍攻击。
