Een Iraanse geopolitieke nexus-bedreigingsacteur is ontdekt door het inzetten van twee nieuwe gerichte malware die wordt geleverd met "eenvoudige" backdoor-functionaliteiten als onderdeel van een inbraak op een niet nader genoemde overheidsinstantie in het Midden-Oosten in november 2021.
Cyberbeveiligingsbedrijf Mandiant schreef de aanval toe aan een niet-gecategoriseerd cluster dat het volgt onder de naam UNC 3313, die het beoordeelt met "gematigd vertrouwen" zoals geassocieerd met de door de staat gesponsorde groep MuddyWater.
"UNC3313 houdt toezicht en verzamelt strategische informatie om de Iraanse belangen en besluitvorming te ondersteunen", onderzoekers Ryan Tomcik, Emiel Haeghebaert en Tufail Ahmed zei. "Targetingpatronen en gerelateerde kunstaas tonen een sterke focus op doelen met een geopolitieke nexus."
Medio januari 2022 hebben Amerikaanse inlichtingendiensten gekarakteriseerde MuddyWater (ook bekend als Static Kitten, Seedworm, TEMP.Zagros of Mercury) als een ondergeschikt onderdeel van het Iraanse ministerie van Inlichtingen en Veiligheid (MOIS) dat actief is sinds ten minste 2018 en waarvan bekend is dat het een breed scala aan tools en technieken gebruikt in zijn operaties.
De aanvallen zouden zijn georkestreerd via spear-phishing-berichten om de eerste toegang te krijgen, gevolgd door gebruik te maken van openbaar beschikbare offensieve beveiligingstools en software voor externe toegang voor zijwaartse beweging en het behouden van toegang tot de omgeving.
De phishing-e-mails waren gemaakt met een lokmiddel voor een baan en misleidden meerdere slachtoffers om op een URL te klikken om een op OneHub gehost RAR-archiefbestand te downloaden, wat de weg vrijmaakte voor de installatie van ScreenConnect, een legitieme software voor externe toegang om voet aan de grond te krijgen.
"UNC3313 bewoog zich snel om toegang op afstand tot stand te brengen door ScreenConnect te gebruiken om systemen te infiltreren binnen een uur na het eerste compromis", merkten de onderzoekers op, eraan toevoegend dat het beveiligingsincident snel onder controle was en verholpen.
De daaropvolgende fasen van de aanval omvatten het escaleren van bevoegdheden, het uitvoeren van interne verkenningen op het beoogde netwerk en het uitvoeren van versluierde PowerShell-commando's om extra tools en payloads op externe systemen te downloaden.
Er was ook een voorheen ongedocumenteerde achterdeur genaamd STARWHALE, een Windows Script File (.WSF) die opdrachten uitvoert die zijn ontvangen van een hardcoded command-and-control (C2) server via HTTP.
Een ander implantaat dat tijdens de aanval werd afgeleverd, is GRAMDOOR, zo genoemd vanwege het gebruik van de Telegram API voor zijn netwerkcommunicatie met de door de aanvaller gecontroleerde server in een poging detectie te ontwijken. Communicatie middelen voor het vergemakkelijken van exfiltratie van gegevens.
De bevindingen vallen ook samen met een nieuw gezamenlijk advies van cyberbeveiligingsinstanties uit het VK en de VS, die de MuddyWater-groep beschuldigen van spionageaanvallen gericht op de defensie-, lokale overheid-, olie- en aardgas- en telecommunicatiesectoren over de hele wereld.
