Tin tặc Iran nhắm vào các mục tiêu ở Thổ Nhĩ Kỳ và Bán đảo Ả Rập trong Chiến dịch malware mới

Nhóm tin tặc MuddyWater được Iran hậu thuẫn bị cáo buộc đã gây ra một loạt các cuộc tấn công mới nhắm vào Thổ Nhĩ Kỳ và Bán đảo Ả Rập với mục tiêu triển khai trojan truy cập từ xa (RAT) trên các hệ thống bị xâm nhập.



Các chuyên gia Asheer Malhotra, Vitor Ventura và Arnaud Zobec của Cisco Talos cho biết trong một báo cáo rằng: “Nhóm MuddyWater có động cơ cao và có thể sử dụng quyền truy cập trái phép để thực hiện các hành động gián điệp, đánh cắp tài sản trí tuệ, phát tán ransomware và mã độc nhắm vào các doanh nghiệp”.



Nhóm này đã hoạt động ít nhất từ ​​năm 2017 và được biết đến với các cuộc tấn công nhắm vào các lĩnh vực khác nhau nhằm thúc đẩy các mục tiêu địa chính trị và an ninh quốc gia của Iran. Vào tháng 1 năm 2022, Bộ Tư lệnh Không gian mạng Hoa Kỳ cho rằng nhóm này là sản phẩm của Bộ Tình báo và An ninh (MOIS) của Iran.



Công ty an ninh mạng này cho biết thêm rằng: “MuddyWater được cho là một tập hợp lớn gồm nhiều nhóm hoạt động độc lập chứ không phải là một nhóm tin tặc duy nhất”.Điều này biến nó trở thành một nhóm con trong tổ chức Winnti , một nhóm tin tặc tiên tiến (APT) có trụ sở tại Trung Quốc.



Các chiến dịch mới nhất do nhóm tin tặc thực hiện liên quan đến việc sử dụng các tài liệu có chứa mã độc được gửi qua các tin nhắn lừa đảo phising để triển khai một trojan truy cập từ xa có tên là SloughRAT (hay còn gọi là Canopy theo CISA), trojan này có khả năng thực thi tùy ý các mã và lệnh nhận được từ máy chủ kiểm soát (C2) của nó.



Maldoc, một file Excel chứa macro độc hại được sử dụng để kích hoạt chuỗi lây nhiễm nhằm phát tán hai file Windows Script (.WSF) trên điểm cuối, file đầu tiên trong số chúng hoạt động như công cụ để kích hoạt và thực thi mã độc ở giai đoạn tiếp theo.



Ngoài ra hai mã độc được dựa trên script cũng đã được phát hiện, trong đó một bộ được viết bằng Visual Basic và bộ còn lại được viết bằng bằng JavaScript. Cả hai đều được thiết kế để có thể tải xuống và chạy các lệnh độc hại trên máy tính bị xâm phạm.



Ngoài ra, các cuộc xâm nhập mới nhất đánh dấu sự tiếp tục của một chiến dịch từ tháng 11 năm 2021 nhắm vào các tổ chức tư nhân và chính phủ của Thổ Nhĩ Kỳ bằng các cửa hậu dựa trên PowerShell để thu thập thông tin từ các nạn nhân thậm chí cho thấy sự trùng lặp với một chiến dịch khác diễn ra vào tháng 3 năm 2021.



Các điểm tương đồng trong chiến thuật và kỹ thuật được những tin tặc này áp dụng đã làm dấy lên khả năng rằng các cuộc tấn công này dù “Riêng biệt, nhưng có liên quan trong cách thức vận hành, với việc các chiến dịch tận dụng mô hình chia sẻ TTP rộng hơn là một điển hình của các nhóm hoạt động phối hợp”, các chuyên gia lưu ý.



Trong chuỗi tấn công thứ hai được Cisco Talos quan sát từ tháng 12/2021 đến tháng 1/2022 cho thấy rằng các tin tặc đã thiết lập các nhiệm vụ theo lịch trình để truy xuất các trình tải xuống mã độc dựa trên VBS, điều này cho phép thực thi các mã độc được truy xuất từ ​​một máy chủ từ xa. Kết quả của các lệnh sau đó được trích xuất trở lại máy chủ C2.



Các chuyên gia kết luận rằng: “Mặc dù có một vài điểm chung nhất định về mặt kỹ thuật, các chiến dịch này cũng biểu thị tính cá nhân trong cách triển khai. Điều này cho thấy sự tồn tại của nhiều nhóm phụ bên dưới Muddywater, tất cả đều sử dụng chung một loạt các chiến thuật và công cụ”.



Theo Thehackernews
The post Tin tặc Iran nhắm vào các mục tiêu ở Thổ Nhĩ Kỳ và Bán đảo Ả Rập trong Chiến dịch malware mới appeared first on SecurityDaily .