Een Iraanse geopolitieke nexus-bedreigingsacteur is ontdekt door het inzetten van twee nieuwe gerichte malware die wordt geleverd met “eenvoudige” backdoor-functionaliteiten als onderdeel van een inbraak op een niet nader genoemde overheidsinstantie in het Midden-Oosten in november 2021.
Cyberbeveiligingsbedrijf Mandiant schreef de aanval toe aan een niet-gecategoriseerd cluster dat het onder de naam volgt UNC3313die het beoordeelt met “gematigd vertrouwen” zoals geassocieerd met de door de staat gesponsorde groep MuddyWater.
“UNC3313 houdt toezicht en verzamelt strategische informatie om de Iraanse belangen en besluitvorming te ondersteunen”, onderzoekers Ryan Tomcik, Emiel Haeghebaert en Tufail Ahmed zei. “Targetingpatronen en gerelateerde kunstaas tonen een sterke focus op doelen met een geopolitieke nexus.”
Medio januari 2022 karakteriseerden Amerikaanse inlichtingendiensten MuddyWater (ook bekend als Static Kitten, Seedworm, TEMP.Zagros of Mercury) als een ondergeschikt onderdeel van het Iraanse ministerie van Inlichtingen en Veiligheid (MOIS), dat actief is sinds ten minste 2018 en is staat bekend om het gebruik van een breed scala aan hulpmiddelen en technieken bij haar activiteiten.
De aanvallen zouden zijn georkestreerd via spear-phishing-berichten om de eerste toegang te krijgen, gevolgd door gebruik te maken van openbaar beschikbare offensieve beveiligingstools en software voor externe toegang voor zijwaartse beweging en het behouden van toegang tot de omgeving.
De phishing-e-mails waren gemaakt met een lokmiddel voor een baan en misleidden meerdere slachtoffers om op een URL te klikken om een op OneHub gehost RAR-archiefbestand te downloaden, wat de weg vrijmaakte voor de installatie van ScreenConnect, een legitieme software voor externe toegang, om voet aan de grond te krijgen.
“UNC3313 ging snel om externe toegang tot stand te brengen door ScreenConnect te gebruiken om systemen te infiltreren binnen een uur na het eerste compromis”, merkten de onderzoekers op, eraan toevoegend dat het beveiligingsincident snel onder controle was en verholpen.
De daaropvolgende fasen van de aanval omvatten het escaleren van bevoegdheden, het uitvoeren van interne verkenningen op het beoogde netwerk en het uitvoeren van versluierde PowerShell-commando’s om extra tools en payloads op externe systemen te downloaden.
Er was ook een voorheen ongedocumenteerde achterdeur genaamd STARWHALE, een Windows Script File (.WSF) die opdrachten uitvoert die zijn ontvangen van een hardcoded command-and-control (C2) server via HTTP.
Een ander implantaat dat tijdens de aanval werd afgeleverd, is GRAMDOOR, zo genoemd vanwege het gebruik van de Telegram API voor zijn netwerkcommunicatie met de door de aanvaller gecontroleerde server in een poging detectie te ontwijken, wat nogmaals het gebruik van communicatiehulpmiddelen benadrukt om exfiltratie te vergemakkelijken Van de gegevens.
De bevindingen vallen ook samen met een nieuw gezamenlijk advies van cyberbeveiligingsbureaus uit het VK en de VS, waarin de MuddyWater-groep wordt beschuldigd van spionageaanvallen gericht op de defensie-, lokale overheid, olie- en aardgas- en telecommunicatiesectoren over de hele wereld.
