Иранская спонсируемая государством шпионская группа выдает себя за обычную банду, занимающуюся программами-вымогателями, в новой волне атак с использованием программ-вымогателей, нацеленных на предприятия.
Согласно исследованию, проведенному поставщиком решений в области безопасности Rapid7, группа APT MuddyWater (также известная как Seedworm) маскируется под группу Chaos ransomware-as-a-service, чтобы запутать реагирование на инциденты и скрыть свою шпионскую деятельность и киберсаботаж.
Атаки, направленные на кражу данных, а не на их шифрование, обычно включают социальную инженерию через платформы обмена сообщениями, такие как Microsoft Teams. В частности, злоумышленники использовали интерактивный совместный доступ к экрану для сбора учетных данных и манипулирования многофакторной аутентификацией (MFA).
Злоумышленники добивались долгосрочной устойчивости с помощью инструментов удаленного управления, таких как DWAgent. За атаками следовали сообщения с требованиями выкупа и публикация на сайте утечек, однако основное внимание уделялось эксфильтрации данных, а не шифрованию.
В рамках продолжающейся кампании целями становятся организации, имеющие стратегическую разведывательную ценность, особенно в Соединенных Штатах, западных странах, Азиатско-Тихоокеанском регионе и на Ближнем Востоке.
Технические артефакты, включая определенный сертификат подписи кода и инфраструктуру командно-контрольных центров (C2), позволили исследователям Rapid7 с «умеренной уверенностью» связать расследуемый инцидент с MuddyWater. MuddyWater — это группа кибершпионажа, связанная с Министерством разведки и безопасности Ирана (MOIS).
По данным Rapid7, которая сегодня опубликовала технический блог-пост с подробным описанием атаки, принятие тактики преступников позволяет этим связанным с государством субъектам вносить двусмысленность и задерживать защитную реакцию.
«Если защитники видят записку с требованием выкупа, давление со стороны сайта утечек или известный бренд программ-вымогателей, первоначальная реакция часто фокусируется на нарушении работы бизнеса, краже данных и переговорах», — сказал Кристиан Бек, вице-президент по киберразведке в Rapid7. «Это может отвлечь от более глубокого вопроса о том, какой доступ установил субъект, какая устойчивость сохраняется и какую разведывательную ценность он получил».
По мнению Rapid7, этот инцидент подчеркивает растущую конвергенцию между спонсируемой государством деятельностью по вторжению и методами киберпреступников.
Сообщалось, что ChamelGang, шпионская группа, связанная с Китаем, использовала программы-вымогатели для сокрытия шпионской деятельности. Группы, связанные с Северной Кореей, также использовали программы-вымогатели и тактики киберпреступности, хотя чаще для получения дохода, а не для чистого обмана.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
