Một kẻ đe dọa mối quan hệ địa chính trị Iran đã bị phát hiện đang triển khai hai phần mềm độc hại có mục tiêu mới đi kèm với các chức năng cửa hậu “đơn giản” như một phần của cuộc xâm nhập nhằm vào một tổ chức chính phủ Trung Đông giấu tên vào tháng 11 năm 2021.
Công ty an ninh mạng Mandiant cho rằng cuộc tấn công là do một cụm chưa được phân loại mà nó đang theo dõi dưới biệt danh UNC3313được đánh giá với “độ tin cậy vừa phải” khi được liên kết với nhóm do nhà nước MuddyWater bảo trợ.
Các nhà nghiên cứu Ryan Tomcik, Emiel Haeghebaert và Tufail Ahmed cho biết: “UNC3313 thực hiện giám sát và thu thập thông tin chiến lược để hỗ trợ lợi ích và việc ra quyết định của Iran”. “Các mẫu nhắm mục tiêu và các chiêu dụ liên quan cho thấy sự tập trung mạnh mẽ vào các mục tiêu có mối liên hệ địa chính trị.”
Vào giữa tháng 1 năm 2022, các cơ quan tình báo Hoa Kỳ đã xác định MuddyWater (hay còn gọi là Static Kitten, Seedworm, TEMP.Zagros, hoặc Mercury) là một phần tử cấp dưới của Bộ Tình báo và An ninh Iran (MOIS) đã hoạt động ít nhất từ năm 2018 và là được biết là sử dụng nhiều loại công cụ và kỹ thuật trong hoạt động của mình.
Các cuộc tấn công được cho là đã được dàn dựng thông qua các tin nhắn lừa đảo trực tuyến để có được quyền truy cập ban đầu, sau đó là lợi dụng các công cụ bảo mật tấn công có sẵn công khai và phần mềm truy cập từ xa để di chuyển bên và duy trì quyền truy cập vào môi trường.
Các email lừa đảo được tạo ra với mục đích chiêu dụ việc làm và lừa nhiều nạn nhân nhấp vào URL để tải xuống tệp lưu trữ RAR được lưu trữ trên OneHub, mở đường cho việc cài đặt ScreenConnect, một phần mềm truy cập từ xa hợp pháp để có được chỗ đứng.
Các nhà nghiên cứu lưu ý: “UNC3313 đã nhanh chóng thiết lập khả năng truy cập từ xa bằng cách sử dụng ScreenConnect để xâm nhập vào hệ thống trong vòng một giờ kể từ khi bị xâm phạm lần đầu”, các nhà nghiên cứu lưu ý thêm rằng sự cố bảo mật đã nhanh chóng được ngăn chặn và khắc phục.
Các giai đoạn tiếp theo của cuộc tấn công bao gồm các đặc quyền leo thang, thực hiện trinh sát nội bộ trên mạng được nhắm mục tiêu và chạy các lệnh PowerShell rối tung để tải xuống các công cụ và trọng tải bổ sung trên các hệ thống từ xa.
Cũng quan sát thấy một cửa hậu không có giấy tờ trước đây có tên là STARWHALE, một Tệp Tập lệnh Windows (.WSF) thực thi các lệnh nhận được lệnh từ máy chủ lệnh và điều khiển (C2) được mã hóa cứng thông qua HTTP.
Một thiết bị cấy ghép khác được phân phối trong quá trình tấn công là GRAMDOOR, được đặt tên như vậy do sử dụng Telegram API để liên lạc mạng với máy chủ do kẻ tấn công kiểm soát nhằm tránh bị phát hiện, một lần nữa nhấn mạnh việc sử dụng các công cụ truyền thông để tạo điều kiện cho việc xâm nhập Dữ liệu.
Các phát hiện cũng trùng hợp với một cố vấn chung mới từ các cơ quan an ninh mạng từ Anh và Mỹ, cáo buộc nhóm MuddyWater thực hiện các cuộc tấn công gián điệp nhằm vào các lĩnh vực quốc phòng, chính quyền địa phương, dầu khí tự nhiên và viễn thông trên toàn cầu.
.
