微软报告伊朗黑客在勒索软件的幌子下进行破坏性攻击

微软安全专家观察到名为MuddyWater的伊朗民族国家组织以勒索软件操作为幌子对混合环境进行破坏性攻击。

这是根据 Microsoft 威胁情报团队的新发现得出的结论，该团队发现攻击者与另一个名为DEV-1084的新兴黑客团伙合作，同时针对本地和云基础设施。

微软报告（https://www.microsoft.com/en-us/security/blog/2023/04/07/mercury-and-dev-1084-destructive-attack-on-hybrid-environment/）称，“攻击者试图将攻击伪装成标准的勒索软件活动，行为表明破坏是该行动的最终目标。”

MuddyWater（中国厂商命名为“污水”）是美国政府公开与该国情报和安全部 (MOIS) 建立联系的伊朗APT组织的名字，至少从 2017 年开始活跃。

它也被网络安全社区以各种名称跟踪，包括 Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mercury、Seedworm、Static Kitten、TEMP.Zagros 和 Yellow Nix。

网络安全公司 Secureworks 在其对 Cobalt Ulster 的简介中指出，在APT攻击中，“将虚假标志注入与其操作相关的代码”作为分散注意力以试图混淆归因工作的情况并不少见。这种情况通常被称为“假旗”，意思是插入其他黑客组织惯用的手法或技巧，让安全研究人员难以发现真正的幕后策划者。

该组织发动的攻击主要针对中东国家，过去一年观察到的入侵利用 Log4Shell 漏洞破坏以色列实体。

微软的最新调查结果显示，攻击者可能与 DEV-1084 合作实施了间谍攻击，后者在 MuddyWater 成功进入目标环境后实施了破坏性行动。

“Mercury 可能利用未打补丁的应用程序中的已知漏洞进行初始访问，然后移交对 DEV-1084 的访问以执行广泛的侦察和发现、建立持久性并在整个网络中横向移动，通常需要等待数周甚至数月才能进入下一阶段。”微软说。

在 Redmond 检测到的活动中，DEV-1084 随后滥用高特权受损凭据对本地设备进行加密并大规模删除云资源，包括服务器场、虚拟机、存储帐户和虚拟网络。

此外，攻击者通过 Exchange Web 服务获得了对电子邮件收件箱的完全访问权限，使用它执行“数千次搜索活动”并冒充一名未具名的高级员工向内部和外部收件人发送消息。

据估计，上述行为发生在大约三个小时的时间范围内，从凌晨 12 点 38 分（当攻击者通过泄露的凭据登录到 Microsoft Azure 环境时）到凌晨 3 点 21 分（当攻击者向云中断成功后的其他方）。

此处值得注意的是，DEV-1084 指的是同一个黑客团伙，该组织在 2 月份以“DarkBit”身份参与了针对以色列领先研究型大学 Technion 的勒索软件和勒索攻击。上个月，以色列国家网络局将此次攻击归咎于 MuddyWater 。

“DEV-1084 [...] 将自己描绘成一个对敲诈勒索感兴趣的犯罪分子，可能是为了混淆伊朗与这次袭击的联系和战略动机。”微软补充道。

Mercury 和 DEV-1084 之间的联系源于基础设施、IP 地址和工具重叠，后者使用被命名为 Ligolo 的反向隧道实用程序观察到，Ligolo 是MuddyWater的主要工件。

也就是说，没有足够的证据可以确定 DEV-1084 是否独立于 MuddyWater 运作并与其他伊朗APT组织合作，以及该组织是否为一个仅需要破坏性攻击时才被召集的子团队。

去年初，Cisco Talos将 MuddyWater描述为一个由几个较小的集群组成的“联合企业”，而不是一个单一的、有凝聚力的集团。DEV-1084 的出现暗示了朝这个方向的变化。

参考链接：https://thehackernews.com/2023/04/iran-based-hackers-caught-carrying-out.html