كشف أحد الممثلين التهابيثيان الجيوسياسي الإيراني بنشر برمجيات ضارة مستهدفة جديدة تأتي مع وظائف بدائية “بسيطة” كجزء من التسلل ضد كيان لحكومة الشرق الأوسط لم يكشف عن اسمه في نوفمبر 2021.
عززت شركة Cybersecurity Companity الهجوم على مجموعة غير مصنف تتبعها تحت مونكر UNC3313، والتي تقيمها ب “الثقة المعتدلة” على النحو المرتبط بمجموعة برعاية مياه الطين.
وقال باحثون ريان توميسيك إن “UNC3313 يجري مراقبة ويجمع المعلومات الاستراتيجية لدعم المصالح الإيرانية وصنع القرار”. “استهداف أنماط السحر ذات الصلة إظهار التركيز القوي على الأهداف ذات نيكزس جيوسياسي”.
في منتصف يناير 2022، وصفت وكالات الاستخبارات الأمريكية بموتر مياه (المعروف أيضا باسم الثنث، الدودة، درجة الحرارة، أو الزئبق) كعنصر تابع لوزارة الاستخبارات والأمن الإيرانية (MOIS) التي كانت نشطة منذ عام 2018 على الأقل المعروف أن استخدام مجموعة واسعة من الأدوات والتقنيات في عملياتها.
يقال إن الهجمات تم تنظيمها عبر رسائل الرمح للتصيد للحصول على إمكانية الوصول الأولي، تليها الاستفادة من أدوات الأمن الهجومية المتاحة للجمهور وبرامج الوصول عن بعد للحركة الجانبية والحفاظ على الوصول إلى البيئة.
تم وضع رسائل البريد الإلكتروني الخشفة من خلال ترويج وظيفة إغراء وخداع ضحايا متعددين للنقر فوق عنوان URL لتنزيل ملف أرشيف RAR المستضاف على OneHub، والذي مهد الطريق لتثبيت ScreenConnect، برنامج Accitimate Access عن بعد، للحصول على موطئ قدم.
لاحظ الباحثون أن “UNC3313 انتقل بسرعة إلى إنشاء وصول عن بعد باستخدام ScreenConnect إلى أنظمة التسلل في غضون ساعة من التسوية الأولية”.
تضمنت المراحل اللاحقة للهجوم من الامتيازات المتصاعدة، حيث تقوم بإجراء استطلاع داخلي على الشبكة المستهدفة، وتشغيل أوامر PowerShell التي تم تشغيلها لتنزيل أدوات إضافية والحمامات على الأنظمة البعيدة.
لوحظ أيضا أن Backdoor غير موثق سابقا يسمى StarWhale، وملف Windows Script (
زرع آخر يتم تسليمه أثناء الهجوم هو Gramdoor، تم تسميته مسبقا لاستخدامه ل API Telegram لاتصالات الشبكة الخاصة به مع الخادم الذي يسيطر عليه المهاجم في محاولة للكشف عنها، مرة أخرى تسليط الضوء مرة أخرى على استخدام أدوات الاتصال لتسهيل Exfiltration البيانات.
تتزامن النتائج أيضا مع استشارات مشتركة جديدة من وكالات الأمن السيبراني من U.K. والولايات المتحدة، وهي اتهم مجموعة هجمات تتجسس مظللة تستهدف قطاعات الدفاع والحكومة المحلية والنفط والغاز الطبيعي والاتصالات في جميع أنحاء العالم.