Η ιρανική ομάδα hacking που παρακολουθείται ως MuddyWater (γνωστή και ως APT34 ή OilRig) παραβίασε
του
λάχιστον δώδεκα υπολογιστές που ανήκαν σε κυβερνητικό δίκτυο της Μέσης Ανατολής και διατήρησε την πρόσβαση για οκτώ μήνες μεταξύ Φεβρουαρίου και Σεπτεμβρίου 2023.
Η MuddyWater συνδέεται με το Υπουργείο Πληροφοριών και
Ασφάλεια
ς του Ιράν (MOIS), γνωστό για τις αυξανόμενες επιθέσεις εναντίον των ΗΠΑ, της Μέσης Ανατολής και της Αλβανίας.
Οι επιθέσεις που παρατηρήθηκαν από την ομάδα κυνηγών απειλών της Symantec, μέρος της Broadcom, χρησιμοποιήθηκαν για την κλοπή κωδικών πρόσβασης και δεδομένων, καθώς και για την εγκατάσταση μιας κερκόπορτας PowerShell με την ονομασία «
PowerExchange
‘, το οποίο δεχόταν εντολές από την εκτέλεση μέσω του
Microsoft
Exchange.
Το PowerExchange τεκμηριώθηκε για πρώτη φορά τον Μάιο του 2023 σε μια αναφορά της Fortinet που αποδίδει το backdoor στο APT34, με
δείγματα
που ανακτήθηκαν από παραβιασμένα συστήματα κυβερνητικού οργανισμού στα Ηνωμένα Αραβικά Εμιράτα.
Στις επιθέσεις
είδε η Symantec
το
κακόβουλο λογισμικό
συνδέεται σε έναν Exchange Server χρησιμοποιώντας τα παρεχόμενα διαπιστευτήρια και παρακολουθεί τα εισερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου για “@@” στη γραμμή θέματος, κάτι που υποδεικνύει ότι το email περιέχει ένα συνημμένο με κωδικοποίηση base64 με εντολές για εκτέλεση.
Μετά την εκτέλεση των αυθαίρετων εντολών του PowerShell που συνήθως αφορούν ενέργειες εγγραφής ή εξαγωγής αρχείων, το κακόβουλο λογισμικό μετακινεί τα μηνύματα στα “Διαγραμμένα στοιχεία” για να ελαχιστοποιήσει την πιθανότητα εντοπισμού.
Η έξοδος των εκτελεσμένων εντολών αποστέλλεται στη συνέχεια με email στους παράγοντες απειλής.
Η ανταλλαγή ως κερκόπορτα σε αυτές τις επιθέσεις επιτρέπει στις δραστηριότητες του APT34 να συνδυάζονται με την τυπική κίνηση δικτύου και να ελαχιστοποιούν τον αριθμό των εισαγόμενων εμφυτευμάτων.
Άλλα εργαλεία που χρησιμοποιούνται από το APT34 στην πρόσφατη καμπάνια περιλαμβάνουν:
-
Backdoor.Tokel
: Εκτελεί εντολές PowerShell και κατεβάζει αρχεία. -
Trojan.Dirps
: Απαριθμεί αρχεία και εκτελεί εντολές PowerShell. -
Infostealer.Clipog
: Κλέβει δεδομένα του προχείρου και καταγράφει πατήματα πλήκτρων. -
Μιμικάτζ
: Ανατρεπόμενο όχημα διαπιστευτηρίων. -
Πλινκ
: Εργαλείο γραμμής εντολών για πελάτη PuTTY SSH.
Η επίθεση διήρκεσε εννέα μήνες
Οι επιθέσεις που παρατηρήθηκαν από τη Symantec ξεκίνησαν την 1η Φεβρουαρίου 2023 και χρησιμοποιούν μια ευρεία γκάμα κακόβουλου λογισμικού, εργαλείων και κακόβουλης δραστηριότητας που διήρκεσε για 8 μήνες.
Ξεκίνησε με την εισαγωγή ενός σεναρίου PowerShell (joper.ps1), το οποίο εκτελέστηκε πολλές φορές την πρώτη εβδομάδα.
Στις 5 Φεβρουαρίου, οι εισβολείς παραβίασαν έναν δεύτερο υπολογιστή στο δίκτυο και χρησιμοποίησαν μια μεταμφιεσμένη έκδοση του Plink (‘mssh.exe’) για να ρυθμίσουν την πρόσβαση RDP. Στις 21 Φεβρουαρίου, η εκτέλεση της εντολής ‘netstat /an’ παρατηρήθηκε σε έναν web server.
Τον Απρίλιο, η MuddyWaters παραβίασε δύο ακόμη συστήματα, εκτελώντας άγνωστα αρχεία δέσμης («p2.bat») και αναπτύσσοντας το Mimikatz για τη λήψη διαπιστευτηρίων.
Τον Ιούνιο, οι χάκερ εκτέλεσαν το Backdoor.Tokel και το PowerExchange στα μηχανήματα που είχαν παραβιαστεί, σηματοδοτώντας την έναρξη της κύριας φάσης της επίθεσης.
Τον επόμενο μήνα, οι χάκερ ανέπτυξαν τα TrojanDirps και Infostealer.Clipog και δημιούργησαν σήραγγες SSH με το Plink.
Τον Αύγουστο, οι χάκερ πραγματοποίησαν σαρώσεις Nessus για ευπάθειες Log4j και μέχρι το τέλος του μήνα, παραβίασαν έναν δεύτερο διακομιστή ιστού, εγκαθιστώντας το Infostealer.Clipog σε αυτόν.
Την 1η Σεπτεμβρίου, οι επιθέσεις έθεσαν σε κίνδυνο τρεις ακόμη υπολογιστές, χρησιμοποιώντας το certutil για τη λήψη του Plink σε αυτούς και την εκτέλεση εντολών Wireshark στον δεύτερο διακομιστή ιστού για την καταγραφή πακέτων κίνησης δικτύου και USB.
Δύο ακόμη υπολογιστές παραβιάστηκαν στις 5 Σεπτεμβρίου, εκτελώντας το εμφύτευμα Backdoor.Token σε αυτούς.
Η δραστηριότητα στον δεύτερο διακομιστή ιστού συνεχίστηκε μέχρι τις 9 Σεπτεμβρίου 2023, με τους εισβολείς να εκτελούν ένα άγνωστο σενάριο PowerShell (‘joper.ps1′) και να πραγματοποιούν προσάρτηση/αποπροσάρτηση κοινόχρηστων στοιχείων δικτύου.
Αν και η Symantec λέει ότι παρατήρησε κακόβουλη δραστηριότητα σε τουλάχιστον 12 υπολογιστές στο δίκτυο του θύματος, έχει αποδείξεις ότι τα backdoors και τα keylogger είχαν αναπτυχθεί σε δεκάδες άλλους.
Συνοπτικά, το MuddyWaters χρησιμοποιεί έναν συνδυασμό εργαλείων, σεναρίων και τεχνικών για να επεκτείνει την πρόσβασή τους και να διατηρήσει την επιμονή σε πολλά συστήματα σε ένα παραβιασμένο δίκτυο.
Οι δραστηριότητές τους συνδυάζουν αναγνώριση (π.χ. εντολές netstat), πλευρική κίνηση (π.χ. Plink για RDP) και εξαγωγή/συλλογή δεδομένων (π.χ. Mimikatz, Infostealer.Clipog), γεγονός που υπογραμμίζει τις δυνατότητες ευρέος φάσματος της ομάδας απειλών.
Η Symantec καταλήγει στο συμπέρασμα ότι παρά το γεγονός ότι η MuddyWaters αντιμετώπισε μια υπαρξιακή απειλή το 2019 όταν διέρρευσε το σύνολο εργαλείων της, είναι σαφές από αυτές τις μακροχρόνιες επιθέσεις ότι οι φορείς απειλών παραμένουν ενεργοί όσο ποτέ.
VIA:
bleepingcomputer.com
