Иранская APT MuddyWater атаковала операторов связи на Ближнем Востоке

[Artifact]

В ходе атак использовались легитимные инструменты, тактика living-off-the-land и общедоступные вредоносы.

Специалисты компании Symantec сообщили о кампании кибершпионажа иранской APT-группировки MuddyWater, нацеленной на операторов связи, IT-компании и коммунальные предприятия на Ближнем Востоке и в других частях Азии.
Группировка MuddyWater (также известная как Seedworm, MERCURY и Static Kitten) была обнаружена в 2017 году и известна своими атаками на цели на Ближнем Востоке.
В рамках новой кампании, которую исследователи Symantec отслеживали в течение последних шести месяцев, злоумышленники атаковали многочисленные организации в Израиле, Иордании, Кувейте, Лаосе, Пакистане, Саудовской Аравии, Таиланде и Объединенных Арабских Эмиратах. В ходе атак использовались легитимные инструменты, тактика living-off-the-land и общедоступные образцы вредоносных программ.
После первоначальной компрометации злоумышленники пытаются украсть учетные данные и выполнить перемещение по сети жертвы, сосредоточившись на развертывании web-оболочек на серверах Microsoft Exchange. В некоторых случаях скомпрометированные среды использовались для проведения атак на дополнительные организации, в то время как некоторые компании стали целями в ходе атак на цепочки поставок.
Первоначальный вектор заражения в большинстве случаев неизвестен, но одна цель, похоже, была скомпрометирована с помощью вредоносного файла MSI, доставленного в архиве электронного фишингового письма.
При атаке на поставщика телекоммуникационных услуг файлы Windows Script File (WSF) применялись для разведки и выполнения команд, а утилита Certutil использовалась для развертывания инструмента туннелирования и запуска набора инструментов WMI, а затем загрузки и выполнения web-оболочки на сервере Exchange.
Хакеры в значительной степени полагались на скрипты для автоматизации операций по сбору информации, а также на инструмент удаленного доступа для выполнения дампа Local Security Authority Subsystem Service (LSASS), доставки инструментов туннелирования и запроса URL-адреса из другой скомпрометированной среды.
При атаке на коммунальную компанию в Лаосе web-сервер IIS, предположительно, выполнял роль точки входа. Затем злоумышленники использовали свой плацдарм для атак на сервер web-почты и IT-серверы двух компаний в Таиланде.