APT Iran Mengirimkan Malware Baru Melalui Api Messenger Telegram
Pada November 2021, seorang aktor ancaman perhubungan geopolitik Iran ditemukan memasang dua malware baru yang ditargetkan dengan fitur backdoor "dasar" sebagai bagian dari serangan terhadap lembaga pemerintah Timur Tengah yang tidak dikenal.
Mandiant, sebuah perusahaan cybersecurity, menganggap serangan itu sebagai klaster yang tidak dikategorikan yang diikutinya dengan nama samaran UNC3313, yang diyakini berafiliasi dengan organisasi yang disponsori negara MuddyWater dengan "kepercayaan moderat."
Menurut akademisi Ryan Tomcik, Emiel Haeghebaert, dan Tufail Ahmed, "UNC3313 melakukan pengawasan dan mengumpulkan intelijen strategis untuk membantu tujuan dan pengambilan keputusan Iran." "Pola penargetan dan umpan yang menyertainya menunjukkan konsentrasi yang cukup besar pada tujuan geopolitik."
MuddyWater (alias Static Kitten, Seedworm, TEMP. Zagros, atau Mercury) diidentifikasi oleh badan-badan intelijen AS pada pertengahan Januari 2022 sebagai elemen bawahan dari Kementerian Intelijen dan Keamanan Iran (MOIS) yang telah aktif setidaknya sejak 2018 dan diketahui menggunakan berbagai alat dan teknik dalam operasinya.
Serangan dilaporkan telah dimulai dengan komunikasi spear-phishing untuk memperoleh akses awal, diikuti oleh penggunaan alat keamanan ofensif yang dapat diakses publik dan perangkat lunak akses jarak jauh untuk gerakan lateral dan akses ke lingkungan.
Email phishing dirancang untuk menarik korban untuk mengklik URL untuk mengunduh file arsip RAR yang bertempat di OneHub, membuka jalan bagi pemasangan ScreenConnect, program akses jarak jauh yang legal, untuk mendapatkan pijakan.
"UNC3313 bekerja cepat untuk mendapatkan akses jarak jauh dengan menyusup ke komputer menggunakan ScreenConnect dalam waktu satu jam setelah pelanggaran pertama," kata para peneliti, menambahkan bahwa masalah keamanan segera diisolasi dan diselesaikan.
Serangan itu berkembang dengan meningkatkan hak istimewa, melakukan pengintaian internal pada jaringan yang ditargetkan, dan menjalankan perintah PowerShell yang dikaburkan untuk mengunduh lebih banyak alat dan muatan di komputer yang jauh.
Backdoor yang sebelumnya tidak diketahui dikenal sebagai STARWHALE, File Skrip Windows (. WSF) yang mengeksekusi pesanan yang diterima melalui HTTP dari server command-and-control (C2) hardcoded, juga ditemukan.
Implan lain yang disampaikan selama serangan adalah GRAMDOOR, dinamakan demikian karena penggunaan API Telegram untuk komunikasi jaringannya dengan server yang dikendalikan penyerang dalam upaya untuk menghindari deteksi, sekali lagi menyoroti penggunaan alat komunikasi untuk memfasilitasi eksfiltrasi data.
Hasilnya juga bertepatan dengan saran bersama baru-baru ini dari otoritas cybersecurity di Inggris dan Amerika Serikat yang menuduh organisasi MuddyWater melakukan serangan spionase global terhadap industri pertahanan, pemerintah daerah, minyak dan gas alam, dan telekomunikasi.