MERCURY, um grupo estatal iraniano, foi recentemente detectado pela equipe de Inteligência de Ameaças da Microsoft operando sob o disfarce de um ataque de ransomware em ambientes híbridos.
Desde 2017, a MERCURY tem conduzido campanhas de espionagem contra alvos no Médio Oriente, e este grupo patrocinado pelo Estado tem motivação financeira.
Em sua operação atual, eles estão visando ativamente ambientes locais e em nuvem. Como resultado das ações irrecuperáveis, os objetivos principais da operação foram a destruição e a perturbação.
O governo dos EUA conectou publicamente a MuddyWater (também conhecida como MERCURY) ao Ministério de Inteligência e Segurança (MOIS), uma agência governamental no Irão ligada a este grupo.
Outros nomes de MERCÚRIO
Embora a comunidade de segurança cibernética tenha rastreado esse grupo sob vários nomes, nós os listamos abaixo: –
- Serpentes pantanosas
- Cobalto Ulster
- Terra Vetala
- ITG17
- Água barrenta
- Lagarta
- Gatinho Estático
- TEMP.Zagros
- Nix Amarelo
A Microsoft descobriu que A MERCURY fez parceria com o DEV-1084, um conhecido grupo de espionagem cibernética, para executar ataques letais. DEV-1084 agiu depois que MERCURY obteve acesso ao ambiente alvo.
Links entre DEV-1084 e MERCURY
Aqui abaixo, mencionamos todos os principais links entre DEV-1084 e MERCURY: –
- DEV-1084 foi observado enviando e-mails ameaçadores de um endereço IP (146.70.106[.]89) ligado ao MERCÚRIO.
- DEV-1084 usou o mesmo provedor VPN (MULLVAD VPN), historicamente usado pela MERCURY.
- O DEV-1084 utilizou o Rport e uma versão customizada do Ligolo, ferramentas que o MERCURY também utilizou em ataques anteriores.
- DEV-1084 usou o vatacloud[.]com para comando e controle (C2) durante o incidente é o mesmo domínio que os operadores MERCURY controlam.
Análise técnica
Na avaliação da Microsoft, foi observado que os operadores MERCURY exploraram um dispositivo voltado para a Internet sem patch para acessar os alvos. O DEV-1084 recebeu então acesso da Mercury para realizar o trabalho.
Depois que os agentes da ameaça obtêm acesso, eles usam várias ferramentas e técnicas para manter a persistência. Ao mesmo tempo, isto permite-lhes manter o acesso aos dispositivos comprometidos durante um período prolongado.
Depois de implementar todo esse processo, os atores da ameaça obtêm as seguintes habilidades:-
- Instalando shells da web
- Adicionando uma conta de usuário local e elevando privilégios ao administrador local
- Instalação de ferramentas legítimas de acesso remoto, como RPort, Ligolo e eHorus
- Instalando um backdoor de script do PowerShell personalizado
- Roubando credenciais
Depois de comprometer as credenciais altamente privilegiadas, o DEV-1084 posteriormente explorou-as para criptografar dispositivos locais e excluir grandes quantidades de elementos da nuvem como:-
- Farms de servidores
- Máquinas virtuais
- Contas de armazenamento
- Redes virtuais
Além disso, os agentes mal-intencionados controlam, em última análise, as caixas de entrada de e-mail explorando os serviços Web do Exchange. Aqui, eles utilizam esse acesso para realizar muitas operações de pesquisa.
Com isso, detectam a identidade de um membro proeminente da organização, permitindo-lhes transmitir mensagens a destinatários internos e externos.
As ações acima mencionadas foram estimadas como tendo ocorrido durante aproximadamente três horas entre 12h38 da manhã e 3:21h da manhã, que é o horário de término.
O DEV-1084, neste momento, não pode ser confirmado como um ator de ameaça autónomo, nem pode haver qualquer evidência concreta para apoiar a alegação de que opera ao lado de outros atores de ameaça iranianos.
Leitura relacionada:
