- 13,850
- 20
- 8 Ноя 2022
Хакерам пришлось объединиться, чтобы сделать свои атаки ещё более скрытными и разрушительными.
Специалистами Microsoft Threat Intelligence Для просмотра ссылки Войдиили Зарегистрируйся , что хакерская группировка MuddyWater, обычно связываемая с правительством Ирана, проводит разрушительные атаки на гибридные среды под видом операций по вымогательству. Причём действует MuddyWater на этот раз не одна, а в партнёрстве с другой группой, которую специалисты Microsoft отслеживают под названием DEV-1084. Исследователи утверждают, что злоумышленники действуют сообща и нацелены как на локальную, так и на облачную инфраструктуру различных организаций стран Ближнего Востока.
«В то время как злоумышленники пытались замаскировать эту активность под стандартную кампанию по вымогательству, расследование показало, что конечной целью операции было разрушение инфраструктуры», — заявил технический гигант в своём отчёте.
MuddyWater — это название, присвоенное иранской группировке злоумышленников, которую правительство США неоднократно публично связывало с Министерством разведки и безопасности Ирана (MOIS). Известно, что данные хакеры активны как минимум с 2017 года.
Группировка отслеживается сообществом кибербезопасности под разными именами, включая: Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros и Yellow Nix. Компания Secureworks, например, отмечает, что эти злоумышленники нередко «вводят ложные флаги в код», стремясь запутать специалистов, расследующих их вредоносные операции.
Атаки MuddyWater в основном направлены на страны Ближнего Востока. При этом вторжения, наблюдаемые за последний год, нередко использовали уязвимость Log4Shell для взлома израильских организаций.
Последние данные Microsoft показывают, что злоумышленники, вероятно, работали вместе с группой DEV-1084. Как сообщается, именно эта группировка произвела ряд деструктивных действий в целевой среде после того, как хакеры MuddyWater успешно в ней закрепились. Иногда на незаметное перемещение по целевой сети уходили недели и даже месяцы. Поэтому можно заявить без преувеличения, что обе группировки действовали очень слаженно и осторожно.
В ходе активности, обнаруженной редмондскими специалистами, DEV-1084 злоупотребил скомпрометированными учётными данными с высоким уровнем привилегий для выполнения шифрования локальных устройств и крупномасштабного удаления облачных ресурсов, включая фермы серверов, виртуальные машины, учётные записи хранения и виртуальные сети.
Кроме того, злоумышленники получили полный доступ к почтовым ящикам через веб-службы Exchange и использовали их для выполнения «тысяч поисковых действий», а также для отправки множества сообщений как внутренним, так и внешним получателям от лица неназванного высокопоставленного сотрудника целевой компании.
«Группа DEV-1084 представляет из себя преступников, заинтересованных в вымогательстве только с точки зрения запутывания связей с Ираном и сокрытия стратегических мотивов атаки», — добавили в Microsoft.
Пока что нет достаточных доказательств, чтобы определить, действует ли группа DEV-1084 независимо от MuddyWater и сотрудничает ли она с другими иранскими субъектами угроз. А может к хакерам DEV-1084 вообще обращаются только когда возникает необходимость провести атаку деструктивного типа для крупномасштабного уничтожения целевой инфраструктуры и важных данных.
Cisco Talos в начале прошлого года описала MuddyWater как «конгломерат», состоящий из нескольких небольших кластеров, а не единую сплочённую группу. Появление DEV-1084 предполагает явное движение в этом направлении.
«Хотя эти команды, кажется, действуют независимо, все они руководствуются одними и теми же факторами, которые соответствуют целям национальной безопасности Ирана, включая шпионаж, интеллектуальную кражу и разнообразные деструктивные операции», — отметил представители Talos в марте 2022 года.
Специалистами Microsoft Threat Intelligence Для просмотра ссылки Войди
«В то время как злоумышленники пытались замаскировать эту активность под стандартную кампанию по вымогательству, расследование показало, что конечной целью операции было разрушение инфраструктуры», — заявил технический гигант в своём отчёте.
MuddyWater — это название, присвоенное иранской группировке злоумышленников, которую правительство США неоднократно публично связывало с Министерством разведки и безопасности Ирана (MOIS). Известно, что данные хакеры активны как минимум с 2017 года.
Группировка отслеживается сообществом кибербезопасности под разными именами, включая: Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros и Yellow Nix. Компания Secureworks, например, отмечает, что эти злоумышленники нередко «вводят ложные флаги в код», стремясь запутать специалистов, расследующих их вредоносные операции.
Атаки MuddyWater в основном направлены на страны Ближнего Востока. При этом вторжения, наблюдаемые за последний год, нередко использовали уязвимость Log4Shell для взлома израильских организаций.
Последние данные Microsoft показывают, что злоумышленники, вероятно, работали вместе с группой DEV-1084. Как сообщается, именно эта группировка произвела ряд деструктивных действий в целевой среде после того, как хакеры MuddyWater успешно в ней закрепились. Иногда на незаметное перемещение по целевой сети уходили недели и даже месяцы. Поэтому можно заявить без преувеличения, что обе группировки действовали очень слаженно и осторожно.
В ходе активности, обнаруженной редмондскими специалистами, DEV-1084 злоупотребил скомпрометированными учётными данными с высоким уровнем привилегий для выполнения шифрования локальных устройств и крупномасштабного удаления облачных ресурсов, включая фермы серверов, виртуальные машины, учётные записи хранения и виртуальные сети.
Кроме того, злоумышленники получили полный доступ к почтовым ящикам через веб-службы Exchange и использовали их для выполнения «тысяч поисковых действий», а также для отправки множества сообщений как внутренним, так и внешним получателям от лица неназванного высокопоставленного сотрудника целевой компании.
«Группа DEV-1084 представляет из себя преступников, заинтересованных в вымогательстве только с точки зрения запутывания связей с Ираном и сокрытия стратегических мотивов атаки», — добавили в Microsoft.
Пока что нет достаточных доказательств, чтобы определить, действует ли группа DEV-1084 независимо от MuddyWater и сотрудничает ли она с другими иранскими субъектами угроз. А может к хакерам DEV-1084 вообще обращаются только когда возникает необходимость провести атаку деструктивного типа для крупномасштабного уничтожения целевой инфраструктуры и важных данных.
Cisco Talos в начале прошлого года описала MuddyWater как «конгломерат», состоящий из нескольких небольших кластеров, а не единую сплочённую группу. Появление DEV-1084 предполагает явное движение в этом направлении.
«Хотя эти команды, кажется, действуют независимо, все они руководствуются одними и теми же факторами, которые соответствуют целям национальной безопасности Ирана, включая шпионаж, интеллектуальную кражу и разнообразные деструктивные операции», — отметил представители Talos в марте 2022 года.
- Источник новости
- www.securitylab.ru
