قراصنة إيرانيون يستهدفون تركيا وشبه الجزيرة العربية. ,يُنسب التهديد الذي ترعاه الدولة الإيرانية والمعروف باسم MuddyWater إلى سرب جديد من الهجمات التي تستهدف تركيا وشبه الجزيرة العربية بهدف نشر أحصنة طروادة (RATs) للوصول عن بُعد على الأنظمة المعرضة للخطر.

قال باحثو Cisco Talos Asheer Malhotra و Vitor Ventura و Arnaud Zobec في تقرير نُشر اليوم: “إن مجموعة MuddyWater الفائقة لديها دوافع عالية ويمكنها استخدام الوصول غير المصرح به لإجراء التجسس وسرقة الملكية الفكرية ونشر برامج الفدية والبرامج الضارة المدمرة في مؤسسة”.

الجماعة ، التي كانت نشطة منذ عام 2017 على الأقل ، معروفة بهجماتها على قطاعات مختلفة تساعد في تعزيز أهداف إيران الجيوسياسية والأمن القومي. في يناير 2022 ، عزت القيادة الإلكترونية الأمريكية الممثل إلى وزارة الاستخبارات والأمن في البلاد (MOIS).

وأضافت شركة الأمن السيبراني أن MuddyWater يُعتقد أيضًا أنها “تكتل من عدة فرق تعمل بشكل مستقل بدلاً من مجموعة جهات فاعلة واحدة” ، مما يجعلها جهة فاعلة شاملة في سياق Winnti ، وهو تهديد مستمر متقدم مقره الصين (APT).

تتضمن أحدث الحملات التي قام بها طاقم القرصنة استخدام المستندات التي تحتوي على برامج ضارة والتي يتم تسليمها عبر رسائل التصيد الاحتيالي لنشر حصان طروادة للوصول عن بُعد يسمى SloughRAT (المعروف أيضًا باسم Canopy by CISA) القادر على تنفيذ تعليمات برمجية عشوائية وأوامر مستلمة من القيادة والتحكم ( C2) الخوادم.

يؤدي ملف maldoc ، وهو ملف Excel يحتوي على ماكرو ضار ، إلى تشغيل سلسلة العدوى لإسقاط ملفين من ملفات Windows Script (.WSF) على نقطة النهاية ، حيث يعمل أولهما كأداة لاستدعاء وتنفيذ حمولة المرحلة التالية.

تم اكتشاف غرسين إضافيين يعتمدان على البرامج النصية ، أحدهما مكتوب في Visual Basic والآخر مشفر في JavaScript ، وكلاهما مصمم لتنزيل أوامر ضارة وتشغيلها على المضيف المخترق.

علاوة على ذلك ، تمثل أحدث مجموعة من التدخلات استمرارًا لحملة نوفمبر 2021 التي ضربت المنظمات الخاصة التركية والمؤسسات الحكومية بأبواب خلفية تعتمد على PowerShell لجمع المعلومات من ضحاياها ، حتى عندما تظهر تداخلًا مع حملة أخرى جرت في مارس 2021.

وقد, أثارت القواسم المشتركة في التكتيكات والتقنيات التي اعتمدها المشغلون احتمال أن تكون هذه الهجمات “مجموعات نشاط متميزة ، لكنها مرتبطة ببعضها” ، مع استفادة الحملات من “نموذج أوسع لمشاركة TTP ، نموذجي للفرق العملياتية المنسقة” ، كما قال الباحثون وأشار.

في تسلسل الهجوم الجزئي الثاني الذي لاحظته شركة Cisco Talos بين ديسمبر 2021 ويناير 2022 ، قام الخصم بإعداد مهام مجدولة لاسترداد برامج التنزيل الخبيثة المستندة إلى VBS ، والتي تتيح تنفيذ الحمولات المستردة من خادم بعيد. يتم لاحقًا إخراج نتائج الأمر مرة أخرى إلى خادم C2.

كما خلص الباحثون إلى أنه “في حين أنهم يشاركون تقنيات معينة ، فإن هذه الحملات تشير أيضًا إلى الفردية في الطريقة التي أجريت بها ، مما يشير إلى وجود فرق فرعية متعددة تحت مظلة Muddywater – وكلها تشترك في مجموعة من التكتيكات والأدوات للاختيار من بينها”. .

اذا جدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

Share.

Leave A Reply