Un grupo de piratería iraní patrocinado por el estado se ha centrado en ataques contra objetivos de alto perfil en Turquía.
Esta semana, los investigadores de seguridad cibernética de Cisco Talos dijeron que MuddyWater, un grupo de amenazas persistentes avanzadas (APT) con vínculos con el Ministerio de Inteligencia y Seguridad de Irán (MOIS), ha sido vinculado a campañas contra organizaciones privadas en Turquía junto con el gobierno del país.
Activo desde al menos 2017, MuddyWater, también conocido como Mercury o Static Kitten, ha estado vinculado a ataques contra organizaciones en los EE. UU., Israel, Europa y Medio Oriente en el pasado.
A principios de este año, el Comando Cibernético de EE. UU. vinculó a la APT con el gobierno iraní y dijo que MuddyWater es uno de los muchos grupos que «realizan actividades de inteligencia iraní».
«MuddyWater es un elemento subordinado dentro del MOIS», dice el Comando Cibernético de EE. UU. «Según el Servicio de Investigación del Congreso, el MOIS «realiza vigilancia interna para identificar a los opositores al régimen. También vigila a los activistas contra el régimen en el extranjero a través de su red de agentes ubicados en las embajadas de Irán».
Según los investigadores de Talos Asheer Malhotra y Vitor Ventura, la última campaña de MuddyWater, que data de noviembre de 2021, utiliza archivos PDF maliciosos y documentos de Microsoft Office como vector de ataque inicial.
Los correos electrónicos de phishing que contienen estos archivos adjuntos maliciosos se falsifican para que parezcan ser de los Ministerios de Salud e Interior de Turquía. Los objetivos incluían el Consejo de Investigación Científica y Tecnológica de Turquía (Tubitak).
Los documentos maliciosos contenían macros de VBA incrustadas diseñadas para activar un script de PowerShell, lo que condujo a la ejecución de un descargador para ejecutar código arbitrario, la creación de una clave de registro para la persistencia y el uso de Living Off the Land Binaries (LOLBins) para secuestrar el máquina.
Una vez dentro de un sistema de destino, MuddyWater tiende a centrarse en tres objetivos: realizar ciberespionaje para los intereses del estado; robar propiedad intelectual con un alto valor económico y desplegar ransomware para interrumpir deliberadamente a los operadores de una organización víctima o para «destruir la evidencia de sus intrusiones», según Talos.
Sin embargo, los investigadores no pudieron asegurar la carga útil final en esta campaña debido a los controles de verificación en el servidor de comando y control (C2) del operador.
La APT también ha adoptado canary tokens para realizar un seguimiento de sus intrusiones. Los tokens canarios son «canarios» digitales que advierten que se ha abierto un archivo y, aunque los defensores suelen usarlos para detectar y monitorear posibles infracciones, los atacantes cibernéticos también pueden usarlos para rastrear infecciones exitosas.
«Los tokens de seguimiento también se pueden usar como otro medio de antianálisis: verificaciones de tiempo», dice Talos. «Una verificación de tiempo razonable sobre la duración entre las solicitudes de token y la solicitud para descargar una carga útil puede indicar un análisis automatizado. […] Los tokens de seguimiento también pueden ser un método para detectar el bloqueo del servidor de carga útil. Si siguen recibiendo solicitudes para el token pero no para el servidor de carga útil, eso es una indicación de que su servidor de carga útil está bloqueado y por quién».
Un aviso emitido por Trakya y el Centro Nacional de Respuesta a Incidentes Cibernéticos (USOM) de Turquía que advierte sobre un ataque de nivel APT enumera IP y una dirección de correo electrónico que también se descubrieron en el análisis Talos de esta campaña.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0