گروه هکری MuddyWater، ترکیه و شبه جزیره عربستان را هدف قرار می دهند


5/5 - (1 امتیاز)

گروه هکری MuddyWater (به معنای آب گل آلود) که تحت حمایت دولت ایران است، به گروه هکری جدیدی که ترکیه و شبه جزیره عربستان را با استفاده از تروجان‌ های دسترسی از راه دور (RAT) بر روی سیستم‌ های در معرض خطر هدف قرار می‌ دهند، نسبت داده شده است.

Asheer Malhotra ،Vitor Ventura و Arnaud Zobec، محقق های Cisco Talos، در گزارشی که دیروز منتشر شد، گفتند: “ابرگروه MuddyWater بسیار با انگیزه است و می تواند از دسترسی غیر مجاز برای انجام جاسوسی، Intellectual Property Theft و استقرار باج افزار و بدافزار مخرب در یک شرکت استفاده کند.”

Intellectual Property Theft شامل سرقت ایده‌ ها، اختراعات و عبارات خلاقانه از افراد یا شرکت‌ ها می‌ شود که می‌ تواند همه چیز را از اسرار تجاری و محصولات و قطعات اختصاصی گرفته تا فیلم، موسیقی و نرم‌ افزار را شامل شود.

این گروه که از سال 2017 فعال بوده است، به دلیل حملات خود به بخش‌ های مختلف که به پیشبرد اهداف ژئوپلیتیکی و امنیت ملی ایران کمک می‌ کند، شهرت دارد. در دی ماه 1400، فرماندهی سایبری ایالات متحده این گروه هکری را به وزارت اطلاعات نسبت داد.

همچنین تصور می شود که گروه هکری MuddyWater مجموعه ای از چندین تیم است که به طور مستقل عمل می کنند، این شرکت امنیت سایبری اضافه کرد که این گروه زیر مجموعه گروه Winnti، یک گروه هکری مستقر در چین (APT) است.

The hacker group MuddyWater is targeting Turkey and the Arabian Peninsula

آخرین کمپین‌ های انجام‌ شده توسط این گروه شامل استفاده از اسناد آلوده به بدافزار میباشد که از طریق پیام‌ های فیشینگ تحویل داده شده و برای استقرار یک تروجان دسترسی از راه دور به نام SloughRAT (معروف به Canopy توسط CISA) که قادر به اجرای کد های دلخواه و دستورات دریافتی از سرور های فرمان و کنترل (C2) است

maldoc، یک فایل Excel حاوی یک Macro مخرب است که زنجیره آلودگی را شروع می‌ کند تا دو فایل اسکریپت ویندوز (WSF) را روی نقطه پایانی Drop کند، اولین مورد از آنها برای فراهم سازی محیط و اجرای Payload مرحله بعدی عمل می‌کند.

همچنین دو Implants اضافی script-based کشف شده است، یکی در Visual Basic نوشته شده و دیگری با JavaScript، که هر دو برای دانلود و اجرای دستورات مخرب بر روی میزبان در معرض خطر طراحی شده اند

علاوه بر این، آخرین مجموعه از علائم نفود ها ادامه کمپین آبان ماه 1400 را نشان می‌ دهد که موسسه های خصوصی و سازمان های دولتی ترکیه را با Backdoor های مبتنی بر PowerShell برای جمع‌ آوری اطلاعات از قربانیان خود مورد حمله قرار داد.

تاکتیک ها و تکنیک های مشترک، این احتمال را افزایش داده است که این حملات “متمایز و در عین حال مرتبط” هستند

در دومین بخش حمله جزئی که توسط Cisco Talos بین آذر ماه 1400 و دی ماه 1400 مشاهده شد، Adversary وظایف برنامه ریزی شده ای را برای بازیابی دانلود کننده های مخرب مبتنی بر VBS تنظیم کرد که اجرای Payload های بازیابی شده از یک سرور راه دور را امکان پذیر می کند. نتایج فرمان به سرور C2 بازگردانده می شود.

محققان نتیجه گرفتند: “در حالی که آن ها تکنیک های خاصی را به اشتراک می گذارند، نشان دهنده وجود چندین تیم فرعی در زیر چتر Muddywater است – که همگی مجموعه ای از تاکتیک ها و ابزارها را به اشتراک می گذارند.”

ملاحظه: این سایت تنها خبر منتشر شده در فضای مجازی را صرفاً منتشر نموده و تایید و یا تکذیب آن بر عهده نهاد های مرتبط و نظارتی می باشد.

1 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.