Специалистами Microsoft Threat Intelligence недавно было замечено , что хакерская группировка MuddyWater, обычно связываемая с правительством Ирана, проводит разрушительные атаки на гибридные среды под видом операций по вымогательству. Причём действует MuddyWater на этот раз не одна, а в партнёрстве с другой группой, которую специалисты Microsoft отслеживают под названием DEV-1084. Исследователи утверждают, что злоумышленники действуют сообща и нацелены как на локальную, так и на облачную инфраструктуру различных организаций стран Ближнего Востока.
“В то время как злоумышленники пытались замаскировать эту активность под стандартную кампанию по вымогательству, расследование показало, что конечной целью операции было разрушение инфраструктуры”, – заявил технический гигант в своём отчёте.
MuddyWater – это название, присвоенное иранской группировке злоумышленников, которую правительство США неоднократно публично связывало с Министерством разведки и безопасности Ирана (MOIS). Известно, что данные хакеры активны как минимум с 2017 года.
Группировка отслеживается сообществом кибербезопасности под разными именами, включая: Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros и Yellow Nix. Компания Secureworks, например, отмечает, что эти злоумышленники нередко “вводят ложные флаги в код”, стремясь запутать специалистов, расследующих их вредоносные операции.
Атаки MuddyWater в основном направлены на страны Ближнего Востока. При этом вторжения, наблюдаемые за последний год, нередко использовали уязвимость ” data-html=”true” data-original-title=”Log4Shell” >Log4Shell для взлома израильских организаций.
Последние данные Microsoft показывают, что злоумышленники, вероятно, работали вместе с группой DEV-1084. Как сообщается, именно эта группировка произвела ряд деструктивных действий в целевой среде после того, как хакеры MuddyWater успешно в ней закрепились. Иногда на незаметное перемещение по целевой сети уходили недели и даже месяцы. Поэтому можно заявить без преувеличения, что обе группировки действовали очень слаженно и осторожно.
В ходе активности, обнаруженной редмондскими специалистами, DEV-1084 злоупотребил скомпрометированными учётными данными с высоким уровнем привилегий для выполнения шифрования локальных устройств и крупномасштабного удаления облачных ресурсов, включая фермы серверов, виртуальные машины, учётные записи хранения и виртуальные сети.
Кроме того, злоумышленники получили полный доступ к почтовым ящикам через веб-службы Exchange и использовали их для выполнения “тысяч поисковых действий”, а также для отправки множества сообщений как внутренним, так и внешним получателям от лица неназванного высокопоставленного сотрудника целевой компании.
“Группа DEV-1084 представляет из себя преступников, заинтересованных в вымогательстве только с точки зрения запутывания связей с Ираном и сокрытия стратегических мотивов атаки”, – добавили в Microsoft.
Пока что нет достаточных доказательств, чтобы определить, действует ли группа DEV-1084 независимо от MuddyWater и сотрудничает ли она с другими иранскими субъектами угроз. А может к хакерам DEV-1084 вообще обращаются только когда возникает необходимость провести атаку деструктивного типа для крупномасштабного уничтожения целевой инфраструктуры и важных данных.
Cisco Talos в начале прошлого года описала MuddyWater как “конгломерат”, состоящий из нескольких небольших кластеров, а не единую сплочённую группу. Появление DEV-1084 предполагает явное движение в этом направлении.
“Хотя эти команды, кажется, действуют независимо, все они руководствуются одними и теми же факторами, которые соответствуют целям национальной безопасности Ирана, включая шпионаж, интеллектуальную кражу и разнообразные деструктивные операции”, – отметил представители Talos в марте 2022 года.