حمله گروه هکری مادی واتر به نهادهای رژیم صهیونیستی

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان غربی ادعا کردند که گروه تهدید مداوم پیشرفته مادی واتر (MuddyWater)، با نام مستعار «SeedWorm»، «TEMP.Zagros» و «Static Kitten»، در یک کمپین جدید اسپیر فیشینگ، نهادهای اسرائیلی را هدف قرار داده است. پیام‌های فیشینگ با هدف استقرار یک ابزار مدیریت از راه دور قانونی به نام عامل نظارت پیشرفته (Advanced Monitoring Agent) بود. این اولین بار است که یک عامل تهدید مداوم پیشرفته (APT) ایرانی از نرم‌افزار نظارت از راه دور «N-able» استفاده می‌کند. کارشناسان هدف قرار گرفتن 2 سازمان اسرائیلی را گزارش دادند.

محققان اظهار داشتند :

«در 30 اکتبر امسال 2 آرشیو میزبانی شده در «Storyblok» شناسایی شد که حاوی یک عامل چند مرحله‌ای جدید بود. این عامل تهدید شامل فایل‌های مخفی، یک فایل LNK، که آلودگی را آغاز می‌کند و یک فایل اجرایی است که برای آشکار کردن یک سند فریب در حین اجرای عامل نظارت پیشرفته، یک ابزار مدیریت از راه دور، طراحی شده است.»

پس از استخراج بایگانی، چندین پوشه باید پیمایش شوند تا زمانی که میانبر LNK به عنوان پوشه دیگری به نام «پیوست» ظاهر شود. کارشناسان همچنین متوجه پوشه‌ها و فایل‌های مخفی اضافی استخراج شده از آرشیو شدند.

با باز شدن فایل LNK، زنجیره آلودگی با اجرای یک فایل اجرایی «Diagnostic.exe» از یکی از دایرکتوری‌های مخفی شروع می‌شود.

فایل «Diagnostic.exe» برای اجرای دومین فایل اجرایی به نام «Windows.Diagnostic.Document.EXE» استفاده می‌شود که در پوشه مخفی به نام «.end» در زیر یک پوشه پنهان Windows.Diagnostic.Document قرار دارد.

Windows.Diagnostic.Document.EXE یک نصب کننده امضا شده و قانونی برای عامل نظارت پیشرفته است.

«Diagnostic.exe» علاوه بر اجرای ابزار مدیریت از راه دور، یک پنجره Windows Explorer جدید از پوشه پنهان «Document» را نیز باز می‌کند. این کار برای فریب سازمان یا فرد، که فایل LNK را باز کرده، انجام می‌شود و فکر می‌کند که واقعاً یک پوشه است. 

گروه هکری از یادداشت رسمی کمیسیون خدمات ملکی رژیم صهیونیستی به عنوان سند فریب استفاده کردند.

در این سند توضیح داده شده که در صورت اظهانظر یک کارمند دولتی در شبکه‌های اجتماعی علیه رژیم غاصب چه اتفاقی می‌افتد.

محققان در گزارش خود مدعی شدند :

«گروه هکری مادی واتر به حملات خود علیه اهداف اسرائیل در کمپین‌های مختلف ادامه می‌دهد. در این کمپین، مادی واتر از تکنیک‌ها، تاکتیک‌ها و روش‌های (TTP) به‌روز شده استفاده می‌کند. اینها شامل یک سرویس میزبانی عمومی جدید، استفاده از یک فایل LNK برای شروع آلودگی و استفاده از بدافزار میانی است که باز کردن یک فهرست را در حین اجرای یک ابزار مدیریت راه دور جدید تقلید می‌کند.»

اولین کمپین مادی واتر اواخر سال 2017 مشاهده شد.

کارشناسان نتوانستند موجی از حملات سایبری بین فوریه و اکتبر 2017 روی اهدافی در عربستان سعودی، عراق، اراضی اشغالی، امارات متحده عربی، گرجستان، هند، پاکستان، ترکیه و ... ایالات متحده را تا به امروز به کشور خاصی نسبت دهند. این گروه در طول سال‌ها با افزودن تکنیک‌های حمله جدید به زرادخانه خود تکامل یافت. در طول سال ها، گروه هکری همچنین کشورهای اروپایی و آمریکای شمالی را نیز هدف قرار داده است.

به گفته محققان، هکرها معمولاً بخش مخابرات، دولتی (خدمات فناوری اطلاعات) و نفت را هدف قرار می‌دهند.

در ژانویه 2022، فرماندهی سایبری ایالات متحده (USCYBERCOM) رسماً ادعا کرد که گروه هکری مادی واتر با وزارت اطلاعات و امنیت ایران (MOIS) ارتباط دارد.

براساس گزارش مشترک منتشر شده توسط آژانس‌های بریتانیا و ایالات متحده، مادی‌واتر سازمان‌هایی را در بخش‌های مختلف از جمله مخابرات، دفاع، دولت محلی، نفت و گاز طبیعی در آسیا، آفریقا، اروپا و آمریکای شمالی هدف قرار داده است.