Un grupo de amenazas persistentes avanzadas (APT) con vínculos con el Ministerio de Inteligencia y Seguridad de Irán (MOIS), ha estado vinculado a campañas contra organizaciones privadas en Turquía, junto con el gobierno del país, según investigadores de Cisco talos.
Activo desde al menos 2017, MuddyWater, también conocido como Mercury o Static Kitten, ha estado vinculado a ataques contra organizaciones en Estados Unidos, Israel, Europa y Oriente Medio en el pasado.
A principios de este año, el Comando Cibernético de los Estados Unidos vinculó la APT con el gobierno iraní, diciendo que MuddyWater es uno de los muchos grupos “que realizan actividades de inteligencia iraní.”
Según los investigadores de Talos, la última campaña de MuddyWater, que se remonta a noviembre de 2021, utiliza PDFs maliciosos y documentos de Microsoft Office como vector de ataque inicial.
Los correos electrónicos de phishing que contienen estos archivos adjuntos maliciosos se falsifican para que parezcan proceder de los Ministerios de Sanidad e Interior de Turquía. Entre los objetivos se encuentra el Consejo de Investigación Científica y Tecnológica de Turquía (Tubitak).
Los documentos maliciosos contenían macros VBA incrustadas diseñadas para desencadenar un script PowerShell, que conducía a la ejecución de un descargador para ejecutar código arbitrario, la creación de una clave de registro para la persistencia y el uso de binarios Living Off the Land (LOLBins) para secuestrar la máquina.
Una vez dentro de un sistema objetivo, MuddyWater tiende a centrarse en tres objetivos: llevar a cabo ciberespionaje para intereses estatales; robar propiedad intelectual con un alto valor económico, y desplegar ransomware para interrumpir deliberadamente a los operadores de una organización víctima o para “destruir pruebas de sus intrusiones”, según Talos.
Sin embargo, los investigadores no pudieron asegurar la carga útil final en esta campaña debido a las comprobaciones de verificación en el servidor de mando y control (C2) del operador.
La APT también ha adoptado tokens canarios para hacer un seguimiento de sus intrusiones. Los tokens canarios son “canarios” digitales que avisan de que se ha abierto un archivo, y aunque suelen ser utilizados por los defensores para detectar y vigilar posibles infracciones, los ciberatacantes también pueden utilizarlos para rastrear las infecciones exitosas.
Un aviso emitido por Trakya y el Centro Nacional de Respuesta a Incidentes Cibernéticos de Turquía (USOM) advirtiendo de un ataque de nivel APT enumeraba IPs y una dirección de correo electrónico que también fueron descubiertas en el análisis de Talos de esta campaña.
Con información de Bleeping Computer.